Zoom sur les prestataires d’audit de sécurité informatique qualifiés par l'ANSSI
Qui sont ces prestataires, baptisés PASSI, agréés par l'agence nationale de la sécurité des SI pour auditer les systèmes d'informations des opérateurs d’importance vitale pour la France ?
La liste s'agrandit. Il y a désormais 11 prestataires d'audit de la sécurité des systèmes d'information (ou "PASSI") qualifiés par l'ANSSI, et d'autres devraient suivre. Cette qualification est en effet très attractive, car la loi de programmation militaire oblige les fameux opérateurs d'importance vitale (OIV) à ne recourir qu'à ces prestataires de service qualifiés pour auditer leurs systèmes d'information.
En plus de donner un gage de sérieux, la qualification ouvre donc grand les portes d'un marché juteux, et les candidats se bousculent au portillon pour en bénéficier. 11 entreprises peuvent donc désormais la brandir, soit deux de plus qu'il y a 2 mois, et une quinzaine ont fait savoir qu'elles étaient candidates. Certains noms sont plus connus que d'autres.
Voici les 11 qualifiées aujourd'hui :
ADVENS. Entreprise basée à Lille, mais aussi présente à Paris, Advens a 15 ans d'existence et emploie une centaine de collaborateurs. Son site indique un chiffre d'affaires de 10 millions d'euros, et affiche une belle liste de références clients : Accor, McDonald's, SFR, Société Générale, Saint-Gobain… entre autres.
AMOSSYS. Basé à Rennes, Amossys dispose aussi de locaux à Paris. Cette entreprise a été fondée en 2007 par des consultants connaissant l'industrie de la défense et le monde du service. Elle indique avoir eu comme clients le ministère de la Défense, Thales, le Crédit Agricole, ou encore France Telecom. Amossys a aussi été reconnu compétent par l'ANSSI pour évaluer des automates programmables industriels. Sa fiche sur societe.com indique qu'elle emploie entre 20 et 49 salariés.
Bull. Basé en Ile-de-France, Bull appartient désormais à Atos. C'est une entreprise bien connue dans le paysage informatique français, notamment en raison de son ancienneté (elle a été créée en 1930). Outre ses activités dans la sécurité (services, mais aussi matériel, chiffrement, logiciel…), Bull fournit aussi des supercalculateurs, parmi les plus puissants en France (lire à ce sujet notre récent entretien avec Pascal Barbolosi, vice-président Extreme Computing chez Atos, anciennement Bull).
CGI Business Consulting. CGI Business Consulting est une filiale du groupe canadien CGI, mais qui appartenait auparavant au groupe connu sous le nom de Logica. CGI compte près de 10 000 collaborateurs en France, et affirme avoir travaillé pour presque toutes les entreprises du CAC 40 (lire notre récent entretien avec Jean-Michel Baticle, le président de CGI France-Luxembourg-Maroc).
Hervé Schauer Consultants. Cette entreprise porte le nom de son actuel PDG, qui l'a fondée en 1989. La société Hervé Schauer Consultants dit avoir accompagné, depuis, 500 clients de toutes tailles. Elle propose aussi de nombreuses formations. En décembre 2014, quelques mois après être sorti de son redressement judiciaire, "HSC" et sa trentaine de collaborateurs ont rejoint Deloitte France.
I-Tracing. Basée en Ile-de-France, et disposant de locaux à Londres, l'entreprise I-Tracing a été fondée il y a dix ans. Sa clientèle est composée principalement de grands comptes. Parmi ses références citées sur son site : Engie, Crédit Agricole, Bolloré, Bouygues Télécom, la préfecture de Police de Paris, RATP... L'entreprise emploie une cinquantaine de salariés, et propose également des formations. Pour 2014, son chiffre d'affaires a atteint 10,5 millions d'euros.
Intrinsec Sécurité. Intrinsec s'est d'abord lancé, en 1994, dans une activité de tests d'intrusion. L'entreprise s'est ensuite aussi positionnée sur l'infogérance et le cloud computing. Elle a rejoint la SSII Neurones en 1999, et a lancé son développement international à Tunis en 2014. Son chiffre d'affaires a dépassé les 30 millions d'euros pour l'exercice 2014. Les chiffres publiés sur societe.com indiquent un effectif moyen de 218 personnes pour l'exercice clos fin 2014. Intrinsec dispose d'un centre certifié d'alerte et de réaction aux attaques informatiques (un "CERT", pour Computer Emergency Response Team).
Lexsi. Lexsi propose de nombreux services (audit, conseil, réponse à incident), des formations et une offre logicielle dédiée à la cyber-sécurité. L'entreprise annonce 23 millions d'euros de chiffre d'affaires, plus de 200 spécialistes, et compte également un CERT.
Sogeti ESEC. Filiale du groupe Capgemini, Sogeti ESEC (pour European Security Expertise Center) est l'entité de Sogeti dédiée à la cyber-sécurité. L'ESEC propose notamment des SOC (pour Security Operation Center), et des solutions en matière d'IAM (Identity Access Management). Dès 2013, son PDG exprimait sa volonté de participer à l'expérimentation lancée par l'ANSSI autour de la labellisation des audits de la sécurité des systèmes d'information.
Solucom. Solucom est un cabinet de conseil fondé en 1990, employant de nombreux spécialistes en sécurité informatique, au sein de sa "Practice Risk management et sécurité de l'information". Solucom dispose de son CERT depuis 2013. En tout, Solucom emploie quelque 1300 personnes. Cette année, Solucom a été considéré comme la 5e entreprise de plus de 500 salariés où il est le plus agréable de travailler en France, selon le dernier palmarès de l'institut spécialisé Great Place to Work.
Thales Communications & Security. Créée en 2011 par le groupe Thales dont elle est une filiale à 100%, cette entreprise est spécialisée dans la sécurité des systèmes d'informations. Elle cible particulièrement les marchés mondiaux de la défense, de la sécurité et du transport terrestre. Elle réalise la moitié de son chiffre d'affaires en dehors de la France. En 2014, ce dernier s'est élevé à 1,8 milliard d'euros. Thales Communications & Security dispose de plusieurs sites en régions, et comptait un peu plus de 6 600 salariés fin 2014.
Toutes les entreprises qualifiées listées ci-dessus ont obtenu la qualification pour leur prestation en matière d'audit d'architecture, d'audit de configuration, d'audit de code source, d'audit organisationnel et physique, et de tests d'intrusion. Toutes, sauf une : I-Tracing, qui n'a pas décroché la qualification concernant l'audit de code source.
Parmi les candidats en cours de qualification qui ont accepté de rendre leur demande publique, figurent à l'heure d'écrire ces lignes : Scassi Conseil, Beijaflore, BT Services, Conix, Ernst & Young Advisory, Price Waterhouse Coopers Advisory, Cassidian Cybersecurity, I2s - Sopra Steria Group, Cogiceo, Digitemis, CS Systèmes d'information, Deloitte Conseil, Oppida, et Orange Consulting.