136 181 925 signatures sur MesOpinions.com

Nombreuses irrégularités aux oraux des examens PASSI organisés par LSTI

Sauvegarde en cours...
Pétition : Nombreuses irrégularités aux oraux des examens PASSI organisés par LSTI

Auteur : Renaud Lifchitz

Destinataire(s) : LSTI, COFRAC, ANSSI

Mise à jour

Renaud Lifchitz


Consultant, formateur et chercheur en cybersécurité – 15 ans d’expérience



Paris, le 2 novembre 2019,



LETTRE OUVERTE - PÉTITION



Objet Nombreuses irrégularités aux oraux des examens PASSI organisés par LSTI



Copie à :


- Mme la Présidente de LSTI, Armelle Trotin


- M. le Directeur de l’ANSSI


- Mme la Responsable du pôle Management, Produits, Qualification et Personnes du COFRAC



Mesdames, Messieurs, chers confrères du secteur de la cybersécurité en France,


Évoluant depuis de nombreuses années en cybersécurité en France et à l’étranger, j’ai dû passer la qualification PASSI pour faire reconnaître ma bonne maîtrise de la méthodologie et des connaissances nécessaires au métier d’auditeur en cybersécurité, comme bon nombre de mes confrères du secteur.


J’ai passé les examens du PASSI en 2015, puis 1 an après en 2016, à la suite d’un changement d’employeur. Si à l’écrit j’ai décroché sans difficulté toutes les portées que je visais (pour rappel : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion et responsable d'audit), les oraux correspondants, en 2015 et 2016, n’ont été qu’une succession de déconvenues incompréhensibles et indignes d’une société agréée par le COFRAC et l’ANSSI, avec qui je travaille régulièrement :


a) Pourquoi lors de l’oral du 18 mai 2015 me pose-t-on des questions sur la sécurité des cartes bancaires sans contact, objet de quelques-unes de mes publications ? Cela m’a fait sourire, mais cela ne fait aucunement partie des portées techniques PASSI, et encore moins des méthodologies liées au RGS ou à l'ISO19011. Des questions objectives et impartiales doivent être posées aux candidats.


b) Pourquoi lors de l’oral du 13 décembre 2016, l’examinateur principal ne me pose-t-il quasiment aucune question directe et m’interroge-t-il sur les questions qu’il est susceptible de me poser ? De ce fait, il n’évalue ni mes compétences ni ma méthodologie dans les approches d’audits PASSI, et on peut naturellement se demander s’il était préparé à interroger des candidats, ne sachant pas sur quels sujets m’interroger et où l’entretien se dirigeait.


c) Pourquoi lors de ce même oral, du fait d’un retard pris par les jurys des oraux, n'ai-je pas du tout été examiné sur la portée « tests d’intrusion », qui de ce fait, m’a été retirée arbitrairement entre 2015 et 2016 ?


d) Pourquoi les deux seules portées qu’il me reste à l’heure actuelle sont-elles, de très loin, les audits que j’ai les moins pratiqués en quinze ans d’expérience ? Si l’objectif du PASSI est de témoigner de l’expérience du candidat sur les sujets, il n’est, de facto, pas du tout atteint.


e) Pourquoi ai-je été examiné à l’oral par des consultants de sociétés concurrentes ? LSTI autorise et perpétue les conflits d’intérêts au sein de ses jurys. Ce sont mes concurrents qui maintenant décident si j’ai le droit d’exercer ? Alors que dans une majorité d’appels d’offres cybersécurité la qualification PASSI est requise, quid du droit fondamental à la liberté d’entreprendre qui est inscrite dans le droit français ?


f) Pourquoi LSTI, acteur 100% privé, est-elle en situation de monopole complet sur tout le secteur (cf. https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/organismes-habilites-a-proceder-a-la-qualification/) en ayant le droit de vie ou de mort, comme bon lui semble, sur les structures et même les personnes du secteur de la cybersécurité en France ?


g) En 2015, comment expliquer avec 12 ans d’expérience à un employeur, collègue, ou client, je sois qualifié sur toutes les portées PASSI visées et qu’un an après je ne sois plus "apte" sur plus de la moitié des portées, bien qu’ayant parfaitement réussi tous les écrits tant en 2015 qu’en 2016 ? Là encore, aucune objectivité, aucune cohérence avec le parcours professionnel du candidat et aucune raison valable, si ce n’est la subjectivité, l’opacité et les nombreux défauts d’organisation qui qualifient et déqualifient les candidats au gré des anomalies de ces oraux.


Tous ces faits sont d’une gravité extrême pour la confiance que peuvent avoir consultants, entreprises du secteur et clients de ces entreprises, et incompatibles avec le sérieux qui devrait être dévolu à une qualification d’État.


Je tiens à préciser qu’il ne s’agit pas là d’une situation unique et exceptionnelle. Non seulement je relate des faits constatés sur deux sessions distinctes, avec deux jurys différents, mais une quinzaine de collègues actuels, d’anciens collègues et amis confrères m’ont relaté exactement les mêmes mésaventures aux oraux des examens organisés par LSTI.


J’ai bien évidemment communiqué absolument tous ces éléments à LSTI, mais elle n’en a eu que faire, puisqu’à l’issue d’un premier courrier recommandé auquel elle n’a pas daigné répondre sous les deux mois de mise en demeure, elle m’a ensuite dit sur Twitter que c’était à mon employeur de déposer une réclamation, ce qui n’est absolument pas recevable, car j’étais seul face au jury mandaté par LSTI aux oraux, et que la propre charte de candidat LSTI m’interdit de communiquer le contenu des épreuves à quiconque. Mon employeur ne peut donc ni témoigner directement, ni indirectement de ces dysfonctionnements, et encore moins déposer une réclamation sur des fondements qu’il ignore...



Mes demandes sont limpides et de bon sens :


- À LSTI : Ma demande est très simple, tout à fait raisonnable, et quasiment sans impact financier pour LSTI, à savoir repasser les oraux PASSI sans frais et dans de bonnes conditions. En droit, il s’agit de vices cachés, et débouchent naturellement sur le remboursement ou le remplacement sans frais du produit ou service acheté. Je ne vois pas pour quel motif vous vous y soustrairiez. Si vous persistez à refuser cette simple demande au vu des circonstances des deux oraux que j’ai passés, je déposerai probablement une plainte à la DGCCRF. Par ailleurs, cela fait presque 3 ans que cela provoque un manque à gagner pour moi et pour mon employeur, ne pouvant pas être positionné sur plusieurs missions PASSI à cause de vos manquements à organiser ces examens simplement de bonnes conditions.


- Au COFRAC : Ayant accrédité LSTI, pouvez-vous la mettre immédiatement en demeure de mettre en place des mesures permettant de garantir l’objectivité, l’impartialité, la transparence et l’absence de conflits d’intérêts lors du passage des oraux du PASSI ? En l’état, LSTI doit voir son accréditation suspendue pour les examens du PASSI, car aucun de ces 4 principes pourtant fondamentaux n’a été respecté (cf. exemples relatés ci-dessus).


- Au COFRAC et à l’ANSSI : Pouvez-vous mettre en place des prérequis, contrôles et garanties supplémentaires pour que de tels manquements ne se reproduisent pas et préserver l’image de la qualification PASSI en France ? Il est tout à fait anormal que l’image d’une qualification publique soit détériorée de par les seuls faits d’un acteur privé. Il est nécessaire à moyen terme d’ouvrir à la concurrence l’accréditation à délivrer le PASSI.



Dans l’attente de trouver une issue favorable à cette situation, je vous prie d'agréer, Mesdames, Messieurs, mes chers confrères cybersécurité, l'expression de ma considération distinguée.


Renaud Lifchitz

169 signatures
  Partager avec vos amis Facebook  Partager avec vos amis Facebook
Partagez la pétition avec vos amis :

Les pétitions soutenues par d'autres utilisateurs

Lancer votre pétition

Lancer ma pétition

Lancez votre pétition pour faire bouger les choses Je lance ma pétition