Actualités

2021 : le bilan

Le début d’année est le temps dédié aux bilans et résolutions, faisons un point sur l’activité de LSTI en 2021.

Les nouveautés

Deux offres ont été ajoutées dans notre catalogue :

  • La certification d’entreprise PVID, la dernière qualification mise en place par l’ANSSI à l’attention des Prestataires de services de Vérification d’Identité à Distance. Nous offrons ce service pour nos clients français mais aussi internationaux, estimant qu’une telle certification peut bénéficier à toute entreprise ;
  • La certification de personne Implementer ISO/CEI 27701, nous avons d’ailleurs rédigé une actualité à ce sujet pour présenter cette certification, et mettre en avant les différences avec la certification Implementer ISO/CEI 27001.

Une autre nouveauté 2021 a été la mise à jour de notre process d’évaluation de personnes, où nous avons notamment introduit des niveaux d’expertise (élémentaire, intermédiaire et avancé). Depuis la mise en place de ce nouveau process, nous avons certifié 460 personnes.

L’équipe

2021 a aussi été marqué par le renforcement de l’équipe LSTI. Un auditeur salarié nous a rejoint, qui travaille notamment sur la certification PASSI, mais également une assistante de gestion dédiée aux certifications d’entreprises. Un nouveau membre nous a également rejoint pour gérer l’activité de LSTI Worldwide.
Malgré la crise sanitaire qui dure, le groupe a une activité constante et en croissance qui permet d’embaucher des personnes supplémentaires.

Nous sommes également toujours ouverts pour des partenariats, en tant qu’organismes de formation partenaires ou auditeurs partenaires.

Le soutien d’un groupe international

Fin 2021 a marqué un tournant pour LSTI : le groupe a rejoint l’entreprise Apave.

Qu’est-ce que cela change concrètement pour nos clients ? Rien. Notre philosophie, notre activité et notre intégrité restent inchangés.

Et pour nos partenaires ? Cela ne change rien non plus, car nous traitons toujours en direct avec eux.

Faire partie d’Apave nous permet de bénéficier de l’appui et de la renommée d’un groupe d’envergure internationale et avec une expérience de longue date dans la gestion des risques professionnels.

Et pour 2022 ?

La tendance de cette année est la certification PVID :

  • Après les premières demandes client l’année dernière, les audits et qualifications avancent ;
  • Le pendant européen du référentiel de l’ANSSI, la norme ETSI TS 119 461, va contribuer au développement de la demande en Europe.

Nous allons également étoffer notre catalogue de certification de personnes, nous vous invitons donc à consulter nos réseaux sociaux et nos actualités régulièrement pour ne pas manquer cette information.

Qualification PASSI : comment ça se passe chez LSTI ?

Petit récapitulatif sur une de nos activités historiques : la qualification Prestataire d’Audit de Sécurité des Systèmes d’Information, aussi appelé PASSI.

Habilité par l’ANSSI depuis 2014, LSTI est le premier organisme certificateur (OC) à effectuer des audits selon le référentiel PASSI qui fait partie du Règlement Général de Sécurité (RGS) conçu par l’ANSSI.

Cette qualification s’adresse aux prestataires de service de confiance qui réalisent des audits de sécurité organisationnel et physique ainsi que sur des portées techniques. Cette qualification est devenue nécessaire pour proposer des prestations d’audit à certaines entreprises ou pour répondre à des appels d’offres.

Le processus de qualification est précisé sur notre page dédiée à la qualification PASSI : il est composé d’un audit siège, d’une observation témoin et d’examens écrits et oraux.

Les examens ont pour objectif de valider les connaissances techniques des auditeurs du prestataire mais aussi leur maitrise du référentiel PASSI et le respect d’une certaine éthique.

Pour ce qui concerne le prestataire, la qualification permet de s’assurer du respect par celui-ci de clauses contractuels strictes, du suivi d’un processus de recrutement et de gestion des compétences efficace et de la garantie de la protection des données d’audit au niveau fixé par le référentiel.

Schéma audit initial PASSI

La qualification est accordée par l’organisme d’évaluation en conformité (OEC) LSTI au terme de la validation de l’audit et du succès des candidats aux examens, pour 3 ans. Une surveillance a lieu à 18 mois, et un audit de renouvellement permet de déclarer la conformité pour 3 ans.

Pour toute question concernant notre prestation PASSI, contactez-nous avec le sujet « information certification d’entreprise ».

Pourquoi obtenir la certification Implementer ISO/CEI 27701 ?

Petit rappel tout d’abord : quel est le sujet de cette norme ?

La norme ISO/CEI 27701 est un complément aux normes ISO/CEI 27001 et ISO/CEI 27002. Elle a été publiée en août 2019, à la suite de la ratification de lois dans différents pays sur la protection des données personnelles (la Loi Informatique et Liberté en France, le RGPD en Union Européenne mais aussi le DPA, Data Protection Act, au Royaume-Uni ou encore le CCPA, California Consumer Protection Act, en Californie, aux États-Unis…).

Cette norme ISO/CEI 27701 a donc pour but la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données à caractère personnel, ainsi que la gestion d’un système de management de la protection de la vie privée (appelé « PIMS » pour Privacy Information Management System) qui se greffe au SMSI. La norme étant éditée par l’ISO et la CEI, cette norme a une portée internationale.

La norme ISO/CEI 27701 est composée de 8 clauses, dont les quatre dernières spécifient les exigences et les extensions supplémentaires à ajouter aux normes ISO/CEI 27001 et 27002.

Elle contient aussi le processus de mise en place d’un PIMS, composés de différentes étapes à respecter pour être certifié conforme.

Nous sommes en Union Européenne, donc soumis au Règlement Général sur la Protection des Données (RGPD). Quelles sont les différences entre les deux textes ?

Même si ces deux référentiels ont un sujet similaire, la conformité à la norme ISO/CEI 27701 n’assure pas la conformité au RGPD, et inversement.

La norme ISO/CEI 27701 a un aspect international, donc plus générique que le RGPD sur le traitement et la protection des données à caractère personnel. Cependant, la mise en place d’un PIMS conforme contribue au respect des articles 42 et 43 du RGPD, sur le principe de responsabilité.

Plus d’informations sur l’article de la CNIL.

Qu’en est-il de la certification Implementer ISO/CEI 27701 ?

La certification Implementer ISO/CEI 27701 s’adressent aux différentes personnes qui supervisent ou gèrent la confidentialité et la gestion de données à caractère personnel, ainsi qu’aux responsables et membres d’une équipe PIMS.

Obtenir cette certification est une garantie de plus pour l’entreprise qui emploient des implementers certifiés, mais également pour leurs clients.

Cette certification peut également complémenter une certification Implementer ISO/CEI 27001 et/ou une certification Délégué·e à la Protection des Données (DPO).

Vous souhaitez passer notre test de certification Implementer ISO/CEI 27701 ? Inscrivez-vous en ligne.

Certifications et qualifications de services et d’entreprise : qui sont les auditeurs ?

LSTI est également renommé pour ses certifications d’entreprises ou de services sur les référentiels cyber ou eIDAS.

Ces certifications ou qualifications sont basées sur le résultat d’audits sur site qui reposent sur des exigences de haut niveau en matière de sécurité. Certaines qualifications incluent également le passage d’examens pour les auditeurs des entreprises candidates (la qualification PASSI par exemple).

Pour répondre aux nombreuses demandes clientes ainsi que maintenir un service d’audit et d’évaluation rigoureux et de qualité, LSTI s’entoure d’auditeurs et auditrices qui peuvent être employé·es ou mandaté·es. Le métier d’auditeur en cyber certification est assez particulier tant dans les critères de sélection de ces auditeurs que dans la pratique d’audits très encadrée par les normes.

 

Florent Grosso, manager cybersécurité chez ABICOM est également auditeur technique Cyber pour LSTI depuis cette année, sur la qualification PASSI.  Il a accepté de répondre à nos questions sur sa récente expérience de sélection pour être partenaire LSTI.

  • Tout d’abord, pouvez-vous vous présenter en quelques mots (votre poste, votre parcours, l’entreprise ABICOM) ?

J’ai été consultant et analyste cyber pour des groupes du CAC40 et des OIV (Opérateurs d’Importance Vitale), j’ai effectué des missions de conseils et intégration pendant près de quatre ans.
Puis je suis rentré à Clermont Ferrand pour gérer un SOC (Security Operation Center), où je faisais de la détection et de la réponse à incidents pendant 2 ans. Par la suite j’ai été RSSI dans une entreprise d’hébergement de données de santé (HDS) pendant 2 ans.
Je suis maintenant manager cybersécurité au sein d’Abicom, sur le volet opérationnel de la partie offensive et défensive en cybersécurité et l’intégration de solutions SSI.

Olivier Gay, président d’Abicom, prend cinq minutes pour nous décrire l’entreprise : « ABICOM est un distributeur intégrateur de solutions informatiques situé en Auvergne. Spécialisé dans le cloud, sur une forte dimension d’engagements de services qui intègre tout une dimension récurrente de contrats de maintien en conditions opérationnelles et d’infrastructures, de services d’exploitations de support et de services managés (soit la faculté de traiter directement avec les utilisateurs des clients dans un centre de service spécialisé). ABICOM est composé de Business Units spécialisées, notamment en cybersécurité et télécom. Ce sont plus de 90 collaborateurs au service des plus grandes entreprises informatiques. »

  • Réaction à froid : quels sont les 3 mots qui vous viennent à l’esprit quand vous pensez à LSTI ?

Alors… Je dirais tout d’abord rigueur. Rigueur dans l’accompagnement des clients, par les process très précis et détaillés mis en place. Puis expertise, par la haute expertise de LSTI sur tous les sujets liés à la méthodologie et l’audit. Pour finir savoir-faire, notamment opérationnel parce qu’on a affaire à des personnes qui ont un savoir-faire technique très important, sur les différents sujets liés à la qualification PASSI et l’audit cybersécurité.

  • Pourquoi être devenu auditeur partenaire LSTI ?

Premièrement pour le challenge technique, les entretiens sont complexes, notamment sur les 4 portées techniques à maîtriser, puis pour se mettre à l’épreuve dans des environnements très sécurisés, ce qui permet de découvrir de nouvelles technologies normalement difficiles d’accès.

  • Que pensez-vous du processus de sélection et validation ?

Il y a une réelle méthodologie pour attester du profil et du parcours de l’auditeur, de ses savoir-être et savoir-faire, qui nécessite une certaine expérience des normes internationales et des référentiels de l’ANSSI ; c’est un processus motivant, stimulant, car c’est un vrai challenge ; ça nécessite une remise en cause de ses propres connaissances et expériences : on est évalué sur nos compétences, sur notre façon de faire. On fait également la rencontre d’autres auditeurs et de responsables d’audits, et les échanges avec cette communauté d’auditeurs cyber contribue à remettre à niveau ses acquis.

Le passage de l’examen et des entretiens pouvant être stressant, un important travail de préparation est nécessaire, car j’ai été évalué sur les quatre portées techniques, mais également sur tous les socles de compétences et les standards de l’ANSSI, qui sont vastes et nombreux. Une expérience sur différents types d’audits, mais également sous différents formats et auprès de clients au profil différent est véritablement un plus pour appréhender ce type d’examen et cette mission d’auditeur technique PASSI.

LSTI m’a bien aidé ; j’ai été accompagné par des experts LSTI, qui ont de l’expérience sur des missions PASSI et qui m’ont challengé pour me faire réviser, en passant des sortes d’examens blancs. Ça paraît être long et compliqué, mais avec une préparation organisée sur plusieurs mois et de la passion pour mon métier et la cybersécurité, cela ne m’a pas paru être une contrainte.

  • Vous venez de réaliser votre première mission en partenariat avec nous, pouvez-vous décrire cette première expérience en quelques phrases ?

Sur les premières missions, il y a un accompagnement fort de LSTI puisque j’ai réalisé 3 accompagnements sur des oraux, puis 3 audits sur sites avec des profils et clients bien différents, ainsi que des méthodologies différentes. Pour le coup, ces audits opérationnels sont très impressionnants car en environnement de diffusion restreinte, donc exigeant opérationnellement. Les experts mentors ont l’habitude de ces missions et font paraître ces audits faciles à réaliser, mais il n’en est rien. Heureusement qu’il y a ce processus d’accompagnement, car sinon je me serais senti dépassé et j’aurais fait demi-tour.

Après ces missions tutorées, je me suis senti prêt pour réaliser mes missions d’audit en binôme, j’avais les compétences, je connaissais les méthodologies ainsi que les objectifs à atteindre pour effectuer une prestation qui satisferait le client. De plus, je sais les équipes LSTI à disposition si je rencontre un problème technique ou une question. Avec les missions s’accumule l’expérience et un meilleur recul, ce qui permet, en plus de toute cet accompagnement, de se sentir à l’aise et opérationnel.

A la fin de ces premières missions en solo, j’ai connu un réel sentiment de fierté, car c’est l’aboutissement d’un long travail de préparation et de mes différentes expériences. De plus, j’ai eu comme premier audit un client qui connaissait le processus d’audit et de qualification PASSI, il connaissait donc la routine et le déroulé, ce qui a grandement aidé pour effectuer ce premier audit.

La maturité et l’expérience crée une habitude, c’est comme cela qu’on gagne notamment du temps sur l’élaboration des rapports d’audit, partie la plus importante et la plus chronophage d’un audit. De plus, j’ai eu beaucoup de retours directs et francs sur les rapports de la part de l’équipe de LSTI, ce qui permet de s’améliorer continuellement sur ses audits, ses rapports mais aussi ses connaissances.

Le métier d’auditeur est extrêmement stimulant intellectuellement pertinent et unique par ses missions. L’environnement de travail est aussi agréable : on rencontre des experts, des clients, des technologies qui contribuent à se remettre en question et s’améliorer, on ne s’ennuie jamais.

  • Comment voyez-vous le partenariat LSTI/Abicom à l’avenir ?

Je souhaite vivement continuer à effectuer des missions pour LSTI car elles sont très intéressantes. Elles permettent de garder un niveau technique très élevé, de garder ses savoir-faire et ses compétences à l’état de l’art. Elles permettent aussi de découvrir de nouveaux milieux différents les uns des autres, avec un haut niveau de protection et de confidentialité.

Par ailleurs, cela a motivé deux autres personnes de mon service chez Abicom pour être expert technique et responsable d’audits dans le cadre de notre partenariat avec LSTI : ils sont en cours d’évaluation. C’est donc un partenariat sur la durée.

 

Florent Grosso est auditeur technique PASSI et effectue des missions pour le compte de LSTI, cependant LSTI est organisme d’évaluation de la conformité sur de nombreux autres référentiels de l’ANSSI, de l’ETSI ou de l’ISO :

Contactez-nous pour toute question sur nos offres de certification entreprises et services.

LSTI rejoint le groupe Apave

Dans un contexte de développement de l’industrie de la cybersécurité au niveau du territoire français, mais également européen, LSTI, fort de ses dix-sept années d’expérience, renforce sa position sur le marché en rejoignant le groupe Apave.

LSTI est un organisme d’évaluation de la conformité spécialisé en cybersécurité et en protection des données. Créé en 2004, LSTI a développé une réelle expertise en sécurité de l’information et est reconnu comme un des organismes certificateurs majeurs en Europe pour l’évaluation des prestataires de services de confiance dans le contexte du règlement eIDAS et des référentiels cyber de l’ANSSI. Aujourd’hui, LSTI rejoint le groupe Apave pour donner un élan à sa croissance, et contribuer au développement de l’offre cyber du groupe.
La plateforme Cybersécurité Apave propose des approches standard et sur-mesure pour aider les organisations à maîtriser leur risque numérique, pour tester la vulnérabilité de leur système, pour labelliser ou certifier la qualité de leur protection, ou encore pour former leurs salariés à l’anticipation et à la gestion de ces risques.

A propos d’Apave
Apave est un groupe international de plus de 150 ans spécialisé dans la maîtrise des risques. Entreprise indépendante avec un CA de 881M€ en 2019, Apave compte aujourd’hui 12 400 collaborateurs, 130 agences en France, 170 sites de formation en France et à l’international et 18 centres d’essais. Apave est présente à l’international à travers plus de 45 pays. Près de 500 000 clients lui font déjà confiance en France et à l’international.
www.apave.fr

Télécharger le communiqué de presse.

Examens en ligne : 1 an après

Cela fait maintenant plus d’un an que nous avons numérisé et simplifié nos examens en ligne pour la certification de compétences de personnes. C’est le moment de faire un premier bilan : retour sur ce qui a changé, le déroulé de l’inscription à la remise de certificat et quelques données chiffrées.

Un an d’examens en ligne, qu’est-ce qui a changé ?

Nous avons tout abord voulu fluidifier et simplifier l’accès aux examens, en réponse au contexte de 2020 mais aussi dans une démarche d’amélioration liée à notre époque. Numériser les examens ainsi que l’inscription et utiliser une plateforme en ligne permet de passer ses examens n’importe où, à condition d’avoir une webcam et une connexion internet.

Les améliorations sont aussi plus faciles à mettre en place, grâce aux analyses des résultats aux épreuves et les retours des candidats, nous pouvons aisément améliorer leur expérience globale, de l’inscription à la remise de leur certificat.

L’autre nouveauté a été la mise en place de niveaux d’expertise (élémentaire, intermédiaire, avancé), afin de mieux mettre en lumière les compétences des candidats certifiés. Nous en avons profité pour également retravailler le design de nos certificats.

Une telle mise à jour a aussi entraîné un changement sur notre schéma de certification : la suppression des provisionals et des grades, toujours pour répondre à une volonté d’amélioration et de fluidité dans le procédé de certification.

Schéma explicatif du processus de certification de personne

Ces modifications concernent les certifications de personnes, y compris notre dernier ajout à notre catalogue :

Passer un examen de personne LSTI : le déroulé détaillé de A à Z

Deux types de candidats passent nos examens de certification de personnes : les personnes qui suivent les formations d’organismes formateurs partenaires, dont les formations s’achèvent par un de nos examens, et les personnes qui s’inscrivent directement sur notre site internet, pour un premier ou second passage d’examen, appelées candidats libres.

Les candidats qui passent nos examens au terme d’une formation sont inscrits par leur organisme de formation à nos examens. Un e-mail leur est envoyé 5 jours* avant l’examen pour leur expliquer le fonctionnement de la plateforme TestWe et tester leur connexion à cette plateforme. Après leur examen, un e-mail avec leur résultat leur parvient sous 20 jours*.

Le déroulé pour un candidat libre est légèrement différent, car le candidat effectue son inscription :

  1. Tout d’abord, il s’inscrit en ligne, sur notre formulaire d’inscription dédiée. Ces informations nous sont transmises par la suite et nous permet de créer son dossier d’inscription. La validation du formulaire se fait suite au paiement en ligne, le candidat reçoit une confirmation de paiement dans l’heure qui suit son inscription.
  2. Sous 7  jours*, ou plus tôt en fonction du temps entre l’inscription en ligne et la date de l’examen, notre service examen envoie un e-mail pour finaliser le dossier d’inscription : certaines certifications nécessitent des justificatifs, ainsi que des déclarations signées par le candidat afin d’être conforme aux référentiels et règlements d’examen en vigueur.
  3. 24 à 48 heures* avant la date d’examen, le candidat reçoit un e-mail de la plateforme TestWe, sur les choses à faire avant l’examen : installer TestWe, tester la webcam…
  4. 24h avant le passage d’examen, des tests de connexion et de fonctionnement sont effectués.
  5. Le jour J, le candidat effectue son examen à l’heure déterminée. Il est autorisé d’utiliser les normes sous format papier pendant l’examen, mais aucun document numérisé ne peut être utilisé. Une fois l’examen terminé et envoyé par le candidat, celui-ci reçoit un e-mail qui confirme la réception de sa copie.
  6. Sous 20 jours*, les résultats sont envoyés par e-mail, puis le certificat de certification sous format PDF en fonction de la réussite du candidat. Le candidat reçoit également un questionnaire de satisfaction sur son expérience. Celui-ci est anonyme et sur base de volontariat, les réponses obtenues contribuent à améliorer nos services dans le cadre de notre démarche qualité.
  7. Si le candidat a accepté lors de la constitution de son dossier d’inscription, nous publierons son nom sur nos registres en ligne.

*Les délais indiqués ici sont des moyennes et des estimations, ils ne sont en aucun cas des données contractuelles.

Pour finir, quelques données chiffrées sur 12 mois de ce nouveau modèle de certification !

Plus d’un an d’examens en ligne, qu’est-ce que cela représente exactement ? Voici une sélection de chiffres qui montre l’étendue du travail fourni pour cette actualité.

Sur 12 mois (mai 2020 à 2021) :

  • Nombre d’inscriptions : 625
  • Nombre d’examens (formation + libres) : 139
  • Temps moyen d’une correction de session : 12  jours ouvrés
  • Temps moyen de réception des résultats : 20  jours ouvrés
  • Nombre de certifiés : 548
  • Nombre de jours à traiter les dossiers d’examen : tous les jours ouvrés, une personne est même dédiée à la gestion de ces dossiers !
  • Nombre de personnes qui travaillent sur cette activité : 5
  • Nombre de litres de café et de thé : beaucoup trop

Évaluation des Prestataires de vérification d’identité à distance (PVID)

CLR Labs et LSTI lancent une offre complète pour l’évaluation des Prestataires de vérification d’identité en ligne selon le schéma de certification de l’ANSSI PVID 1.0 du 1er mars 2021.

L’ANSSI est la première organisation publique à définir un référentiel d’exigences concernant les fournisseurs de vérification d’identité à distance et le schéma de certification associé. Le référentiel a été publié le 1er mars 2021 et le schéma de certification vient d’être ouvert au 1er avril 2021.

La vérification d’identité à distance est devenue un enjeu commercial mais aussi de souveraineté numérique. Le schéma de certification des Prestataires de Vérification d’Identité à Distance permet à l’écosystème français de se doter d’un élément clé dans le développement de l’économie numérique.
Cet élément va permettre de faire monter en compétence les solutions biométriques de détection du vivant, et ainsi faire la promotion de l’excellence à la française.

LSTI et CLR Labs sont tous deux référencés par l’ANSSI comme centres d’évaluation :

  • LSTI prend en charge l’évaluation de la conformité aux exigences du référentiel PVID ;
  • CLR Labs prend en charge l’évaluation de l’efficacité de la biométrie du service.

Les deux sociétés ont décidé de proposer une offre d’évaluation complète permettant l’évaluation des Prestataires de Vérification d’Identité à Distance (PVID). Cet accord de partenariat permet aux futurs candidats à la certification PVID de bénéficier d’une offre d’évaluation complète et structurée.

Plus d’informations sur notre page produit PVID.

A propos de CLR Labs, groupe Cabinet Louis Reynaud : CLR Labs est le laboratoire européen dédié à l’évaluation des technologiques biométries et de sécurité fondé par des experts multidisciplinaires de l’industrie cumulant un siècle d’expérience en biométrie et sécurité basé à La Ciotat (France). De nombreux industriels, intégrateurs de systèmes complexes et fournisseurs de services de confiances français et européens lui font confiance pour évaluer leurs produits et solutions utilisant les technologies biométriques dans le cadre du passage au frontière, du paiement sécurisé, du contrôle d’accès physique des entreprises, de l’authentification électronique en ligne et plus généralement dans le domaine de la gestion et vérification de l’identité numérique. CLR Labs est accompagné par TEAM@Mines Saint-Étienne, le maturateur technologique de l’école des Mines de Saint-Étienne.

Processus certification de personnes : qu’est-ce qui change en 2021 ?

Dans la continuité de la modernisation de nos activités, nous mettons en place un nouveau processus de certification de compétences.
En effet, après avoir procédé à la digitalisation de nos examens, nous allons simplifier le processus d’obtention de certification.

Cette simplification prend effet le lundi 4 janvier, elle consiste comme suit :

  • La réussite d’un examen de compétences de personne conduit à l’obtention de la certification associée, il n’y aura plus de d’attestation de réussite.
  • Dorénavant nous accorderons la certification à partir de 50 points obtenus à nos examens. Nous avons donc déterminé 3 niveaux, liés au taux de réussite à l’examen, et celui sera mentionné sur le certificat :
    ○ 50 points obtenus ou plus équivaut au niveau élémentaire,
    ○ 60 points obtenus ou plus équivaut au niveau intermédiaire,
    ○ 75 points obtenus ou plus équivaut au niveau avancé.
  • Comme le processus de grade ne sera plus, le renouvellement de votre certification se fera au moyen d’un repassage d’examen.

De plus, nos certifications de personnes seront toujours accréditées par le Cofrac. Nous maintenons le passage de nos examens en ligne, ils se feront donc sur notre plateforme dédiée.

Et pour finir, nous mettons en place un formulaire d’inscription en ligne, afin de faciliter et accélérer les inscriptions, notamment en candidature libre (sans passer de formation) et pour les renouvellements de certification.

Vous pouvez consulter le pdf de notre Plan de transition Certification de compétences.

Les premières sessions d’examen en ligne ont eu lieu

Les premières sessions d’examen en ligne pour les certifications Lead auditor 27001, Lead implementor 27001 et Risk manager 27005 ont eu lieu, notamment à la fin des formations de nos partenaires HS2 et ORSYS. Toutefois, nos examens en ligne sont disponibles à la demande.
Petit récap :
– Demande d’inscription par email à examens@lsti.fr
– Après confirmation d’inscription, un lien vous est envoyé vers votre session d’examen.
– Vous pouvez passer ces examens à la fin d’une formation, ou en candidat libre pour un second passage ou un renouvellement.
– Nous répondons à vos questions dans l’espace commentaires.
Nous vous attendons nombreux !

 

 

 

 

 

 

Certification PASSI : le cas Synacktiv

Suite à l’obtention de la qualification Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI), Renaud FEIL, président et co-fondateur de Synacktiv, a répondu à quelques questions pour nous faire part de son expérience. Voici ses réponses.

  • Synacktiv vient d’être qualifié PASSI suite aux différents audits effectués par LSTI. En tant que président et co-fondateur de Synacktiv, quel est votre retour sur le processus de qualification ? 

Le processus de qualification est exigeant. Il a demandé une préparation intense malgré les 8 années d’expérience de Synacktiv dans la réalisation d’audits de sécurité. Cet audit nous rappelle qu’il y a une différence entre « faire du bon travail » et être capable de démontrer à un tiers que nos processus assurent un niveau de qualité systématique. Par ailleurs, l’audit vérifie des aspects contractuels, légaux et réglementaires qui sont rarement documentés dans les petites sociétés spécialisées comme la nôtre.

  • Quel est du coup l’apport de cette qualification pour vos clients ?

Cela prouve une certaine consistance dans la réalisation de nos audits. Même si je ne pense pas que le métier du test d’intrusion a vocation à être « industrialisé », les compétences et le flair de chaque auditeur ne pouvant pas être complètement englobés dans une qualification…

Surtout, cela permet à nos clients OIV (Opérateurs d’Importance Vitale) de nous faire intervenir sur les périmètres les plus sensibles sans se mettre en défaut avec la réglementation.

  • Comment se sont passés les examens écrits et les entretiens des auditeurs candidats ? 

Pour l’écrit, certaines questions mériteraient une petite mise à jour pour correspondre aux technologies récentes que l’on croise désormais chez les clients, mais l’ensemble reste très pertinent (et il est vrai qu’on retrouve toujours de vieilles technologies sur le terrain !). Pour l’oral, nous avons trouvé qu’il était intéressant de challenger les candidats sur les erreurs constatées lors de l’examen écrit.

De manière générale, c’est toujours déstabilisant pour un auditeur ayant plusieurs années d’expérience de se retrouver à son tour audité par un pair ! Mais les 12 candidats que nous avons présentés ont tous été retenus pour devenir auditeurs PASSI. Pour un expert sécurité continuant de pratiquer des audits de sécurité régulièrement, il n’y a guère de surprise dans les résultats des examens.

  • Quelle sera votre prochaine étape ?

Nous allons engager les démarches pour être PASSI LPM (Loi de Programmation Militaire). Tous les efforts ont déjà été faits et il ne s’agira (je l’espère) que d’une formalité pour démontrer notre crédibilité sur le marché.

Synacktiv rejoint la liste des sociétés françaises qualifiées PASSI, que vous pouvez retrouver sur notre moteur de recherche Clients Certifiés.

 

Scroll to top