alphaspirit - Fotolia

Passe d’armes dans le microcosme des prestataires d’audit des SIIV

Le différend qui oppose le consultant en sécurité Renaud Lifchitz et LSTI, seul à ce jour habilité par l’Anssi pour évaluer les candidats à la qualification de PASSI, se poursuit. L’organisme certificateur vient d’ailleurs de hausser le ton.

Comme le révèlent nos confrères de La Lettre A, LSTI vient de citer à comparaître pour diffamation mi-avril Renaud Lifchitz, mais également notre confrère Marc Brami, le directeur de publication de Global Security Mag. En cause, une interview de Renaud Liftchitz publiée en février dernier sur le site Web de nos confrères.
Dans celle-ci, le consultant en sécurité informatique de Digital.Security réitérait ses critiques à l’encontre des oraux organisés par LSTI, dans le cadre du processus de délivrance des qualifications de prestataire d’audit de sécurité des systèmes d’information (PASSI) nécessaires pour répondre aux demandes des opérateurs d’importance vitale (OIV). Les prestataires ainsi qualifiés sont seuls habilités à auditer la posture de sécurité de systèmes d’information les plus critiques – dits d’importance vitale, les SIIV – de ces opérateurs.

Avec cette citation à comparaître, LSTI apparaît hausser le ton face aux critiques. Début février, Armelle Trotin, directrice générale de LSTI, avait déjà adressé à Renaud Liftchitz une mise en demeure, l’accusant de diffamation à l’encontre de l’organisme, et lui intimant d’y mettre un terme. Mais l’intéressé a rapidement répondu par un billet sur LinkedIn détaillant six raisons pour lesquelles, selon lui, « il n’y a pas diffamation de [sa] part ». Nous avons sollicité un nouvel entretien téléphonique avec Armelle à ce moment-là, sans succès.

LSTI avait initialement publié une réponse sur LinkedIn aux critiques exprimées à l’encontre de ses protocoles d’évaluation PASSI. Celle-ci a depuis été supprimée, mais une archive en est toujours accessible. Elle correspond bien au document qu’Armelle Trotin avait adressé à la rédaction à titre préliminaire, avant de nous accorder un entretien téléphonique, à l’automne. Dans cette lettre ouverte, LSTI estimait notamment faire « l’objet d’une campagne de dénigrement par un candidat ayant échoué à un examen », sans pour autant désigner nommément Renaud Lifchitz.

Mi-février, Armelle Trotin s’est à nouveau exprimée publiquement, dans un billet publié sur LinkedIn où elle veut décrire « les grands principes » des « oraux PASSI ». Mais rien n’y vient contredire ni préciser ce que la directrice générale de LSTI nous avait expliqué à l’automne.

À l’époque, à l’occasion d’un échange téléphonique pour le moins courtois de bout en bout, Armelle Trotin indiquait que l’oral a pour objectif d’affiner, de vérifier si le candidat a les connaissances nécessaires ou non, en se concentrant sur les faiblesses identifiées à l’écrit : il s’agit de savoir si « le candidat n’avait pas la connaissance, s’il n’avait pas compris la question, ou s’il s’y est mal pris dans la réponse ».

En somme, s’il n’y a pas de méthodologie formelle, il y a un fil conducteur : vérifier si ce qui pourrait ressembler à des lacunes dans les résultats de l’écrit en constitue vraiment. Et sur tous les domaines pour lesquels le candidat cherche une qualification – on parle de portées. Interrogé à ce sujet, Renaud Lifchitz nous a toutefois indiqué n’avoir pas eu l’impression de revenir sur les questions de l’écrit à l’occasion de l’oral.

Mais dans notre échange téléphonique à l’automne, Armelle Trotin expliquait que l’accent porte moins sur la cohérence méthodique que sur « l’équité de traitement » des candidats : « c’est à cela que l’on fait le plus attention », indiquait-elle, évoquant une approche procédant d’une « reconnaissance par les pairs ».

Sur LinkedIn, Armelle Trotin souligne que les « résultats des examens sont présentés et expliqués au candidat puis consignés dans le procès-verbal signé par lui, immédiatement à la fin de l’examen ». Mais selon l’exemple de procès-verbal rendu public par Renaud Lifchitz, il ne faut pas s’attendre à quelque chose d’aussi détaillé et exhaustif qu’un… rapport audit. Les commentaires sont saisis de manière manuscrite dans un cadre laissant moins d’espace qu’au tableau le précédant, utilisé pour le verdict favorable/défavorable de jury sur les différents sujets. Et le consultant de déplorer l’absence de référence, dans les commentaires, aux questions qui lui ont été effectivement posées, ou encore l’absence de date sur le document.  

À l’automne, des connaisseurs du sujet, qui avaient souhaité rester anonymes, reconnaissaient des difficultés structurelles… ainsi que des possibilités d’amélioration. Aujourd’hui, si certains se rangent ouvertement du côté de LSTI, à l’instar de René Saint-Germain de Certi-Trust/ICTS – en passe de devenir concurrent de LSTI –, la stratégie retenue par l’organisme est loin de faire l’unanimité. Sur Twitter, certains n’hésitent pas à prendre ouvertement position en faveur de Renaud Lifchitz.

En coulisses, d’autres ne manquent pas non plus de critiquer la stratégie de communication et de gestion de crise retenue par LSTI. Et en l’état, l’ensemble ne contribue pas nécessairement à donner l’image d’une base solide pour évaluer et renforcer la sécurité des systèmes d’information les plus critiques des opérateurs d’importance vitale (OIV).

Pour approfondir sur Cyberdéfense

Close