René Saint Germain est le Directeur Technique des programmes du centre d’évaluation de Certi-Trust France. Il est diplômé de HEC Montréal, entrepreneur et en expert en sécurité de l’information et normalisation depuis plus de 22 ans. Il a fondé plusieurs entreprises actives dans le secteur de la normalisation en sécurité de l’information. Il est également membre actif et rédacteur au sein de divers comité ISO, et notamment le coéditeur de la norme ISO27034 en sécurité des applications.
Au cours de cet entretien, René évoque le référentiel PAMS, applicable aux prestataires d’administration et de maintenance sécurisées, en apportant, d’une façon brève et concise, de nombreuses précisions au sujet des informations que tout prestataire/ commanditaire doivent connaître pour se conformer aux exigences de ce nouveau référentiel.
1. Qu’est-ce que « PAMS » ?
Il s’agit du référentiel publié par l’Agence Nationale de la Sécurité des Systèmes d’Information (l’ANSSI) au sujet des exigences applicables aux Prestataires d’Administration et de Maintenance Sécurisées.
Pour bien comprendre le référentiel PAMS, il faut clarifier le sens de 3 termes-clés :
- Le prestataire: L’entité qui délivre un service d’administration et de maintenance sécurisées au commanditaire.
- Le commanditaire: L’entité qui fait appel à la prestation.
- Le service: L’ensemble des moyens techniques, organisationnels et humains qui sont mis en œuvre par le prestataire pour effectuer une prestation d’administration et maintenance sécurisées.
Dans le but d’évaluer la qualité des prestations d’infogérance proposées, le référentiel PAMS a été conçu pour permettre d’apporter aux commanditaires des garanties substantielles en matière de sécurité et de confiance à accorder à leurs prestataires.
2. Quelles activités sont généralement couvertes par une qualification PAMS ?
Est inclus dans le périmètre de qualification, tout type d’activités d’administration d’un système d’information incluant les actions d’installation, de suppression, de modification et de consultation de celui-ci.
L’administration peut inclure des services techniques tels que :
- L’installation ou la désinstallation de composants ;
- La modification de la configuration ou du paramétrage ;
- La mise à jour des systèmes ou des composants ;
- La gestion de sauvegardes ;
- La gestion des droits d’accès des utilisateurs ;
- L’attribution de ressources réseau.
3. À quels besoins le référentiel PAMS répond-il ?
Les exigences du référentiel permettent d’apporter une réponse aux besoins exprimés dans plusieurs réglementations autant françaises qu’européennes telles que la directive Network and Information Security (NIS), la loi de programmation militaire (LPM) et la politique de sécurité des systèmes d’information de l’État français (PSSIE). De la sorte pour le commanditaire, recourir à un prestataire qualifié PAMS lui permet de mieux respecter une partie des exigences que ces réglementations imposent. Ce référentiel peut également être utilisé sur base volontaire, au titre des meilleures pratiques, en dehors du contexte strictement réglementaire. C’est pourquoi, le référentiel peut potentiellement aussi s’adresser à des infogéreurs de tous pays autres que la France.
4. Quelles sont les modalités de la qualification PAMS ?
Actuellement, le programme PAMS est en phase expérimentale. Certi-Trust est l’un des deux centres d’évaluation retenus par l’ANSSI pour le lancement et le suivi de cette phase. Au cours de 2021, nous procéderons à l’évaluation de deux prestataires témoins. Le schéma sera ouvert publiquement à la qualification à partir de 2022. La demande de qualification des prestataires portera sur trois types de services :
- Service externe d’administration ;
- Service interne d’administration ;
- Service d’administration de système d’information non administrable à distance.
5. Quelles sont les exigences que les prestataires qualifiés devront respecter ?
La version 0.9 du référentiel PAMS est disponible sur le site Web de l’ANSSI. Il s’agit de la version utilisée pour la phase expérimentale. Elle contient l’ensemble des exigences et des recommandations à destination des prestataires d’administration et de maintenance sécurisées. Le référentiel formule également des recommandations aux commanditaires. Ces recommandations ne font pas l’objet de vérification pour obtenir la qualification. À la fin de la phase expérimentale, une nouvelle version du référentiel sera publiée par l’ANSSI.
Le référentiel PAMS comporte actuellement trois grandes catégories d’exigences :
- Les exigences générales relatives aux obligations juridiques du prestataire, notamment ses devoirs vis-à-vis du commanditaire, ses garanties, etc. ;
- Les exigences relatives à la protection de l’information, notamment la sécurité du réseau d’administration et son cloisonnement, la sécurité des postes et outils d’administration, ou encore les interconnexions et les systèmes d’échange sécurisés ;
- Les exigences relatives à l’organisation du prestataire et la gouvernance du service, notamment la mise en place d’une charte éthique et de recrutement, le contenu des comités opérationnels et stratégiques, etc.