Proposition de loi Intervention des cabinets privés
commission des lois
N°COM-23
10 octobre 2022
(1ère lecture)
(n° 720 )
AMENDEMENT
| Adopté |
présenté par
Mme CUKIERMAN, rapporteure
ARTICLE 18
Consulter le texte de l'article ^
I.- Alinéas 1 et 2
Supprimer ces alinéas.
II.- Alinéa 3
Après le mot :
produit
rédiger ainsi la fin de l’alinéa :
les conclusions d’un audit de sécurité réalisé par un tiers prestataire d’audit de sécurité des systèmes d’information qualifié conformément au référentiel établi par l’agence nationale de la sécurité des systèmes d’information, attestant d’un niveau minimal de sécurité.
Objet
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) dispose déjà d’un référentiel en matière d’audit de la sécurité des systèmes d’information qui semble adapté aux cabinets de conseils. Ces audits peuvent être conduits par des prestataires qualifiés par les centres d’évaluation agréés par l’ANSSI.
Il semble par conséquent inutile de prévoir un référentiel et une procédure de certification ad hoc.
Par ailleurs, la simple production d’une attestation indiquant que l’audit a bien été réalisé ne garantirait pas un niveau minimal de sécurité. Il convient donc de prévoir l’atteinte d’un niveau minimal de sécurité, attesté par l’audit et qui serait fixé par le décret prévu au III.