Appel public à commentaires sur le référentiel d’exigences applicables aux Prestataires d’administration et de maintenance sécurisées (PAMS)
Les prestataires d’administration et de maintenance sécurisée assurent le bon fonctionnement et le maintien en condition de sécurité de systèmes d’information. Ce nouveau schéma de qualification, valorisé à terme par un Visa de sécurité de l’ANSSI, permettra aux utilisateurs d’identifier facilement les prestataires fournissant une qualité de service à la hauteur des enjeux de sécurité actuels. Il est aujourd’hui présenté par l’agence en appel à commentaire.
Le marché de l’infogérance s’est considérablement développé en France et atteint aujourd’hui un nouveau stade de maturité. En parallèle, l’ANSSI constate depuis quelques années l’accroissement du nombre et de la gravité des attaques informatiques dites « supply chain », consistant à atteindre une cible en infiltrant les systèmes d’information de ses partenaires. En infectant préalablement des entreprises de services numériques tels que des prestataires de maintenance ou d’administration, les attaquants contournent des dispositifs de détection et rentabilisent ainsi leurs attaques.
Compte tenu de la criticité des systèmes d’informations souvent administrés et des enjeux de sécurité actuels, l’ANSSI a élaboré un référentiel visant à apporter aux commanditaires de telles prestations les garanties nécessaires tant en termes de sécurité que de confiance à accorder aux prestataires qui les réalisent. Les exigences formulées par ce référentiel portent sur le prestataire lui-même, ainsi que sur la sécurité de son système d’information permettant de fournir le service d’administration et de maintenance sécurisées.
Une première version du référentiel PAMS est proposée aujourd’hui dans le cadre d’un appel public à commentaires.
Les observations, commentaires et propositions peuvent être transmises jusqu’au 15 décembre 2019, de préférence par courriel, à l’adresse qualification [at] ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous. L’ANSSI remercie par avance tous ceux qui répondront à cet appel à commentaires.
A la suite du recueil et de la prise en compte des commentaires, l’ANSSI procédera à une phase expérimentale afin de tester en conditions réelles l’applicabilité de ce référentiel.
Elle invite par conséquent les prestataires souhaitant être candidats à cette phase expérimentale à la contacter, de préférence par courriel, à la même adresse.
Enfin, l’ANSSI invite également les organismes tiers qui souhaiteraient être accrédités pour procéder à l’évaluation de la conformité des prestataires d’administration et de maintenance sécurisées par rapport à ce référentiel d’exigences à la contacter, de préférence par courriel, à la même adresse.