Se connecter
Logo MesOpinions.com
Accueil Pétitions Sondages Victoires COVID-19 Lancer une pétition
Pétition

Nombreuses irrégularités aux oraux des examens PASSI organisés par LSTI

Pétition : Nombreuses irrégularités aux oraux des examens PASSI organisés par LSTI Pétition

Nombreuses irrégularités aux oraux des examens PASSI organisés par LSTI

180 signatures
Auteur(s) :
Renaud Lifchitz
Destinataire(s) :
LSTI, COFRAC, ANSSI
La pétition
Mises à jour

Renaud Lifchitz


Consultant, formateur et chercheur en cybersécurité – 15 ans d’expérience



Paris, le 2 novembre 2019,



LETTRE OUVERTE - PÉTITION



Objet Nombreuses irrégularités aux oraux des examens PASSI organisés par LSTI



Copie à :


- Mme la Présidente de LSTI, Armelle Trotin


- M. le Directeur de l’ANSSI


- Mme la Responsable du pôle Management, Produits, Qualification et Personnes du COFRAC



Mesdames, Messieurs, chers confrères du secteur de la cybersécurité en France,


Évoluant depuis de nombreuses années en cybersécurité en France et à l’étranger, j’ai dû passer la qualification PASSI pour faire reconnaître ma bonne maîtrise de la méthodologie et des connaissances nécessaires au métier d’auditeur en cybersécurité, comme bon nombre de mes confrères du secteur.


J’ai passé les examens du PASSI en 2015, puis 1 an après en 2016, à la suite d’un changement d’employeur. Si à l’écrit j’ai décroché sans difficulté toutes les portées que je visais (pour rappel : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion et responsable d'audit), les oraux correspondants, en 2015 et 2016, n’ont été qu’une succession de déconvenues incompréhensibles et indignes d’une société agréée par le COFRAC et l’ANSSI, avec qui je travaille régulièrement :


a) Pourquoi lors de l’oral du 18 mai 2015 me pose-t-on des questions sur la sécurité des cartes bancaires sans contact, objet de quelques-unes de mes publications ? Cela m’a fait sourire, mais cela ne fait aucunement partie des portées techniques PASSI, et encore moins des méthodologies liées au RGS ou à l'ISO19011. Des questions objectives et impartiales doivent être posées aux candidats.


b) Pourquoi lors de l’oral du 13 décembre 2016, l’examinateur principal ne me pose-t-il quasiment aucune question directe et m’interroge-t-il sur les questions qu’il est susceptible de me poser ? De ce fait, il n’évalue ni mes compétences ni ma méthodologie dans les approches d’audits PASSI, et on peut naturellement se demander s’il était préparé à interroger des candidats, ne sachant pas sur quels sujets m’interroger et où l’entretien se dirigeait.


c) Pourquoi lors de ce même oral, du fait d’un retard pris par les jurys des oraux, n'ai-je pas du tout été examiné sur la portée « tests d’intrusion », qui de ce fait, m’a été retirée arbitrairement entre 2015 et 2016 ?


d) Pourquoi les deux seules portées qu’il me reste à l’heure actuelle sont-elles, de très loin, les audits que j’ai les moins pratiqués en quinze ans d’expérience ? Si l’objectif du PASSI est de témoigner de l’expérience du candidat sur les sujets, il n’est, de facto, pas du tout atteint.


e) Pourquoi ai-je été examiné à l’oral par des consultants de sociétés concurrentes ? LSTI autorise et perpétue les conflits d’intérêts au sein de ses jurys. Ce sont mes concurrents qui maintenant décident si j’ai le droit d’exercer ? Alors que dans une majorité d’appels d’offres cybersécurité la qualification PASSI est requise, quid du droit fondamental à la liberté d’entreprendre qui est inscrite dans le droit français ?


f) Pourquoi LSTI, acteur 100% privé, est-elle en situation de monopole complet sur tout le secteur (cf. https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/organismes-habilites-a-proceder-a-la-qualification/) en ayant le droit de vie ou de mort, comme bon lui semble, sur les structures et même les personnes du secteur de la cybersécurité en France ?


g) En 2015, comment expliquer avec 12 ans d’expérience à un employeur, collègue, ou client, je sois qualifié sur toutes les portées PASSI visées et qu’un an après je ne sois plus "apte" sur plus de la moitié des portées, bien qu’ayant parfaitement réussi tous les écrits tant en 2015 qu’en 2016 ? Là encore, aucune objectivité, aucune cohérence avec le parcours professionnel du candidat et aucune raison valable, si ce n’est la subjectivité, l’opacité et les nombreux défauts d’organisation qui qualifient et déqualifient les candidats au gré des anomalies de ces oraux.


Tous ces faits sont d’une gravité extrême pour la confiance que peuvent avoir consultants, entreprises du secteur et clients de ces entreprises, et incompatibles avec le sérieux qui devrait être dévolu à une qualification d’État.


Je tiens à préciser qu’il ne s’agit pas là d’une situation unique et exceptionnelle. Non seulement je relate des faits constatés sur deux sessions distinctes, avec deux jurys différents, mais une quinzaine de collègues actuels, d’anciens collègues et amis confrères m’ont relaté exactement les mêmes mésaventures aux oraux des examens organisés par LSTI.


J’ai bien évidemment communiqué absolument tous ces éléments à LSTI, mais elle n’en a eu que faire, puisqu’à l’issue d’un premier courrier recommandé auquel elle n’a pas daigné répondre sous les deux mois de mise en demeure, elle m’a ensuite dit sur Twitter que c’était à mon employeur de déposer une réclamation, ce qui n’est absolument pas recevable, car j’étais seul face au jury mandaté par LSTI aux oraux, et que la propre charte de candidat LSTI m’interdit de communiquer le contenu des épreuves à quiconque. Mon employeur ne peut donc ni témoigner directement, ni indirectement de ces dysfonctionnements, et encore moins déposer une réclamation sur des fondements qu’il ignore...



Mes demandes sont limpides et de bon sens :


- À LSTI : Ma demande est très simple, tout à fait raisonnable, et quasiment sans impact financier pour LSTI, à savoir repasser les oraux PASSI sans frais et dans de bonnes conditions. En droit, il s’agit de vices cachés, et débouchent naturellement sur le remboursement ou le remplacement sans frais du produit ou service acheté. Je ne vois pas pour quel motif vous vous y soustrairiez. Si vous persistez à refuser cette simple demande au vu des circonstances des deux oraux que j’ai passés, je déposerai probablement une plainte à la DGCCRF. Par ailleurs, cela fait presque 3 ans que cela provoque un manque à gagner pour moi et pour mon employeur, ne pouvant pas être positionné sur plusieurs missions PASSI à cause de vos manquements à organiser ces examens simplement de bonnes conditions.


- Au COFRAC : Ayant accrédité LSTI, pouvez-vous la mettre immédiatement en demeure de mettre en place des mesures permettant de garantir l’objectivité, l’impartialité, la transparence et l’absence de conflits d’intérêts lors du passage des oraux du PASSI ? En l’état, LSTI doit voir son accréditation suspendue pour les examens du PASSI, car aucun de ces 4 principes pourtant fondamentaux n’a été respecté (cf. exemples relatés ci-dessus).


- Au COFRAC et à l’ANSSI : Pouvez-vous mettre en place des prérequis, contrôles et garanties supplémentaires pour que de tels manquements ne se reproduisent pas et préserver l’image de la qualification PASSI en France ? Il est tout à fait anormal que l’image d’une qualification publique soit détériorée de par les seuls faits d’un acteur privé. Il est nécessaire à moyen terme d’ouvrir à la concurrence l’accréditation à délivrer le PASSI.



Dans l’attente de trouver une issue favorable à cette situation, je vous prie d'agréer, Mesdames, Messieurs, mes chers confrères cybersécurité, l'expression de ma considération distinguée.


Renaud Lifchitz

Le 25/03/2020

[Informations - 5ème point d'étape - 24 mars 2020]

Bonjour à tous,

J'ai été informé, ce 18 mars 2020, de la citation à comparaître pour diffamation au tribunal correctionnel de Rennes, de Marc Brami, directeur des publications de Global Security Mag, l'un des plus gros médias cybersécurité en France, pour avoir publié une interview de moi sur l'oral du PASSI, révélant notamment le contenu du procès-verbal des oraux de LSTI :
https://www.globalsecuritymag.fr/Renaud-Lifchitz-Quid-de-l,20200210,95497.html
LSTI s'attaque donc frontalement à la liberté de la presse, et ce sans avertissement à ce média, ni demande de droit de réponse... J'attends toujours de recevoir ma propre citation à comparaître car je suis aussi poursuivi en tant que "complice" dans ce dossier. La solidarité a joué à fond car j'ai reçu des propositions de 12 avocats pour ma défense en à peine 24 heures, merci à tous pour votre soutien !

LSTI a ces dernières semaines publié sur LinkedIn et Twitter différents messages diffamants et dénigrants, aussi je leur ai envoyé un courrier recommandé de mise en demeure de retrait de ces contenus, ainsi que du respect de la présomption d'innocence de Global Security Mag et moi-même. Ces différents contenus seront versés à la procédure, ce qui n'arrangera pas les affaires de LSTI qui porte plainte pour diffamation mais diffame (avant et après) en toute impunité de son côté, on voit encore la cohérence dans leur discours !

Dans sa procédure, LSTI écrit au juge un nombre incroyable de mensonges, je suis encore à l'heure actuelle en train de tous les recenser... Tenez par exemple, par rapport au site MesOpinions, page 14 : "Il est également fait remarquer que la pétition mise en ligne par Monsieur LIFCHITZ n'a été signée que par des anonymes..." C'est bien évidemment faux. Sur la partie publique du site seuls vos prénoms et villes sont affichés par respect pour le RGPD, mais l'auteur de la pétition peut à tout moment télécharger l'ensemble des signatures et commentaires avec date, heure, prénom, nom, adresse, code postal, ville... Rassurez-vous, il est hors de question que je communique la moindre de ces informations à LSTI, c'est ma priorité numéro un devant la défense de mes propres intérêts s'il le faut :) Je montrerai juste au juge, si nécessaire, que LSTI ment effrontément (ici par ignorance du fonctionnement de MesOpinions), mais très souvent ailleurs par pure mauvaise foi.

D'autre part, le journal Le Mag IT vient de publier un article résumant bien ma démarche de recherche de probité, de vérité et de transparence pour les oraux des examens PASSI organisés par LSTI. L'accès à l'article est gratuit ici :
https://www.lemagit.fr/actualites/252480551/Passe-darmes-dans-le-microcosme-des-prestataires-daudit-des-SIIV
Vous pourrez le constater, il parle aussi de votre exceptionnelle mobilisation, merci à vous et n'hésitez pas à communiquer autour de vous sur ce sujet essentiel pour le sérieux de notre profession !


A bientôt,

Renaud Lifchitz


Le 02/03/2020

Le 02/03/2020

[Informations - 4ème point d'étape - 2 mars 2020]

Juste pour vous tenir informé de la confirmation officielle d'un second prestataire qui sera probablement bientôt habilité à délivrer la qualification PASSI aux entreprises et candidats.

Ce prestataire sera Certi Trust : https://www.linkedin.com/company/certi-trust/about/

On ne peut que se réjouir d'une concurrence plus saine dans ce domaine.


A bientôt,

Renaud Lifchitz


Le 06/02/2020

[Informations - 3ème point d'étape - 6 février 2020]


Oral du PASSI : LSTI joue maintenant les victimes plutôt que d'améliorer ses procédures...

Bonjour LSTI,

J'ai bien reçu votre lettre de mise en demeure pour diffamation ce jeudi 6 février 2020.

Alors déjà, je rectifie votre première phrase qui est d'entrée de jeu fausse, puisque mes réclamations ne sont pas liées à un échec comme vous l'affirmez mais à la répétition de faits irréguliers me portant un important préjudice professionnel, et à la répétition très récente de ces faits pour plusieurs amis et collègues, à laquelle je souhaite mettre fin. La meilleure preuve c'est le tout premier point a) sur ma lettre ouverte qui porte sur un oral sur lequel j'ai obtenu toutes les portées PASSI que je visais, mais irrégulièrement réussi en raison de procédures défaillantes de votre part (cf. ma lettre ouverte https://www.mesopinions.com/petition/justice/nombreuses-irregularites-aux-oraux-examens-passi/75494). Par ailleurs, si ces réclamations étaient liées à l'échec que vous citez, elles n'auraient pas eu lieu 2 ans et demi après, soit quasiment en fin de validité de ma qualification PASSI ! Ce que vous affirmez dans votre première phrase est donc faux, sans liaison causale ni même temporelle. Par ailleurs, je vous rappelle que j'ai décroché lors de mon dernier examen plusieurs portées PASSI, ce que vous qualifiez "d'échec"... On ne peut pas rêver plus absurde de votre part !

Il y a 6 raisons pour lesquelles il n'y a pas diffamation de ma part, ce qui fait autant de raisons pour lesquelles je continuerai de tenir informé mes confrères qui travaillent en cybersécurité de cette procédure :

1) Le fait a été porté au public volontairement de votre part :
Il a notamment fait déjà l'objet d'un article journalistique auquel vous avez volontairement participé et été interviewé : https://www.lemagit.fr/actualites/252473810/Audits-un-socle-de-confiance-fissure-pour-la-securite-des-SI-des-OIV
Vous ne pouvez en aucun cas prétexter une diffamation que vous avez vous-même alimentée volontairement et médiatiquement !

2) Usage de votre droit de réponse :
Vous avez pu user de votre droit de réponse en toute liberté et vous l'avez d'ailleurs fait à plusieurs reprises :
- Dans un post LinkedIn que vous avez depuis silencieusement supprimé dans votre fil officiel d'actualité : https://www.linkedin.com/company/lsti/
- Dans votre interview dans l'article journalistique cité ci-dessus
- Plusieurs tweets sur Twitter

3) Aucune intentionnalité de nuire :
J'ai procédé à de très nombreux échanges privés avec LSTI (notamment une lettre recommandée datée du 19 mai 2019 puis une vingtaine de mails s'en sont suivis) avant l'écriture d'une lettre ouverte le 2 novembre 2019. Si ma volonté était de nuire, je n'aurais pas demandé à plusieurs reprises une conciliation et attendu 6 mois en rédigeant des correspondances privées avec vous.

4) Vérité des propos :
La violation de la règlementation (RGPD) par votre société est factuelle et prouvable, tous les documents sont datés et connus des 2 parties. Vous procédez à de la collecte de données personnelles déloyale et illicite et vous les conservez en dehors des délais légaux (cf. mon article LinkedIn : https://www.linkedin.com/pulse/oral-du-passi-lsti-n%C3%A9coute-pas-et-continue-de-renaud-lifchitz/)

5) Bonne foi :
Je n'ai aucun conflit préalable à vous et le seul but légitime de ma lettre ouverte et de ses mises à jour est d'informer sur un scandale de grande ampleur qui porte atteinte à la légitimité de milliers d'emplois en France. Par ailleurs, les accusations sont multiples, écrites, datées et recoupées par de nombreux témoignages (cf. commentaires publics de ma lettre ouverte). Si la presse s'en est mêlé, c'est la meilleure preuve indépendante qu'il s'agit d'informer le public.

6) Sur le retrait des contenus :
Il n'en est pas question, tant qu'ils respectent la loi et qu'il ne m'est pas prouvé le contraire. Par ailleurs, plusieurs sites dont je ne suis pas le responsable éditorial comme mesopinions.com n'ont aucune fonctionnalité technique de retrait à proprement parler. Par ailleurs, il m’apparaîtrait invraisemblable d'aller aussi museler la presse que vous avez vous-même alimentée !


La seule issue est une sortie par le haut de votre part, en modifiant ces processus défaillants que j'ai largement décrits et documentés. Je soutiens la qualification PASSI et l'ANSSI qui la propose, et me préoccupe de sa légitimité et de son image au vu des nombreux incidents émaillants son passage par votre organisme.


Bien cordialement,

Renaud Lifchitz


Le 31/01/2020

[Informations - 2ème point d'étape - 26 janvier 2020]
Oral du PASSI : LSTI n'écoute pas et continue de s'enfoncer...


Bonjour à tous,

Encore merci pour votre soutien et excellente nouvelle année à tous !

Les choses bougent, j'ai quatre (plutôt) bonnes nouvelles :

a) Sur l'ouverture à la concurrence :

2020 devrait être l'année de l'ouverture à la concurrence du passage de la qualification PASSI avec un, voire deux concurrents à LSTI, qui devraient être accrédités prochainement d'après des sources proches ("stay tuned!") malgré un petit obstacle (j'ignore si l'obstacle est volontaire ou non) qui doit être levé... Il faudra donc surveiller attentivement le premier tableau ici : https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/organismes-habilites-a-proceder-a-la-qualification/

La concurrence devrait assainir le marché du PASSI et faire privilégier la qualité au service minimum et médiocre d'un acteur overbooké... Pour ma part, *je boycotte LSTI* pour tous mes choix actuels et futurs tant que la procédure orale du PASSI n'est pas écrite (là, elle relève de la tradition orale), qu'elle est monopolistique pour un acteur unique du privé, qu'elle n'inclue pas de contrôle sur les conflits d'intérêts, l'objectivité de l'examen et qu'elle n'autorise aucun recours du candidat. C'est tout simplement inacceptable et suffisamment méprisant.

b) Sur les conflits d'intérêts :

LSTI s'en est bien caché, mais a commencé à se poser quelques questions, en changeant notamment *silencieusement* le contenu des convocations aux oraux du PASSI, qui incluent désormais la liste des membres du jury qui vous examineront... Curieux comme principe de laisser quelques semaines au candidat pour établir une collusion avec des gens dont il ignorait jusqu'ici l'identité... Sans doute lié au fait que j'avais dénoncé des conflits d'intérêts entre candidats et membres du jury de l'oral, et que les membres du jury ont jusqu'ici échoué à se retirer d'eux-mêmes lors de conflits d'intérêts, on laisse maintenant le choix au candidat de refuser un jury, en plus de risques de collusions jusqu'ici inexistants... A mon avis une tentative maladroite de LSTI pour un organisme qui ne veut pas mettre en place de contrôle indépendant et déléguer un maximum de choses aux autres en leur faisant aveuglément confiance, on voit à quoi cela a mené dans les situations que j'ai décrites...

c) Sur les règles non écrites de LSTI :

Par ailleurs, j'ai enfin obtenu mon "procès-verbal d'examen oral du PASSI" de la part de LSTI, qui avait jusqu'ici refusé de me le fournir, arguant que c'était seulement à mon employeur de le demander (encore une règle non écrite), absurde quand on sait que l'employeur n'a pas connaissance du contenu de l'examen et que la charte du candidat lui interdit d'en parler à son employeur... Comment prévoir l'unique recours par l'unique absent à l'examen oral ? Cela n'a aucun sens. Quand je conteste une décision de justice, je le fais moi-même, je n'ai pas à demander à quelqu'un qui ne connait pas son contenu de faire un recours. On voit que les règles orales de LSTI n'en sont pas vraiment, car j'ai quand même obtenu ce document, ils ont brisé leur propre règle sur le sujet.

Ce document d'une page qu'on vous fait forcément signer à la fin de l'oral (je croyais que c'était une signature d'émargement et de présence, d'autant que le document en question m'a été caché par une feuille blanche). J'ai un ami qui a passé ce même oral du PASSI il y a moins de deux mois, et je peux vous dire qu'on ne vous permet, à l'heure actuelle, *toujours pas* de lire ce document avant de le signer, contrairement à ce qu'affirme LSTI, c'est maintenant confirmé par d'autres personnes sur des situations très récentes.

d) Sur de magnifiques violations de la loi française et communautaire par LSTI :

Mon dernier oral et son "procès-verbal d'examen oral du PASSI" de LSTI datent du 13 décembre 2016. La CNIL a depuis longtemps établi que "les tests et épreuves à caractère psychotechnique constituent une collecte d'informations nominatives au sens de la loi du 6 janvier 1978" (délibération n°85-50 du 22 octobre 1985), règle depuis largement étendue et généralisée par le RGPD.

J'ai dès lors, plusieurs remarques d'ordre juridique :

1) LSTI a procédé à une collecte de données *déloyale et illégale*, le candidat n'ayant pas été prévenu des types de données nominatives qui allait être collectées par écrit sur leur candidature durant l'oral du PASSI, notamment les jugements subjectifs sur le candidat qui sont formulés sur ce document dont il ne connait pas l'existence avant de le découvrir déjà rempli en fin d'examen.

2) LSTI refuse de communiquer au candidat à titre personnel ce document (voir point c), c'est une violation des plus élémentaires du droit d’accès aux informations personnelles le concernant. La règle de LSTI concernant donc la demande et l'accès uniquement par l'employeur est donc parfaitement *illégale*.

3) LSTI *conserve illégalement*, au-delà de tout délai légal et de toute justification proportionnée, ces données personnelles au-delà de 6 mois (le document date du 13 décembre 2016 et m'a été remis précisément le 23 janvier 2020, après une première demande à l'automne 2019), quand bien même le seul document qui lui soit nécessaire de conserver est l'attestation PASSI comportant uniquement les résultats des examens.

LSTI viole donc en toute impunité à 3 reprises les lois dites "informatique et libertés" et le RGPD depuis au moins 3 ans, ce que je vais lui notifier immédiatement. C'est un comble pour un organisme qui fait de la certification... de conformité ! LSTI risque 20 millions d'euros d'amende ou 4% de son chiffre d'affaires si elle continue de violer la loi dans ses procédures.

Je continue bien évidemment les différentes procédures possibles (il y en a plusieurs en cours !) et je vous informerai ici des avancées.

Bien cordialement,

Renaud Lifchitz


Le 12/11/2019

[Informations - 1er point d'étape]

Bonjour à tous,
Un grand merci à vous pour votre soutien et parfois votre relai de cette lettre ouverte, qui je l'espère, contribuera à améliorer l’objectivité, l’impartialité, la transparence et l’absence de conflits d’intérêts dans l'attribution de cette qualification, et ainsi renforcera sa valeur et son image. Un merci particulier à ceux qui m'ont aussi envoyé leur témoignage en privé, témoignages qui m'ont été très utiles dans les discussions que je continue d'avoir avec LSTI, le COFRAC et l'ANSSI.

Vous avez été plus de 150 à soutenir cette initiative moins de 48h après son lancement, alors merci ! Cet engouement a attiré les médias, et aujourd'hui une enquête vient d'être publiée par "Le Mag IT", que je vous laisse découvrir ici :
https://www.lemagit.fr/actualites/252473810/Audits-un-socle-de-confiance-fissure-pour-la-securite-des-SI-des-OIV

Pour la première fois depuis le début des échanges, des erreurs sont avouées à demi-mot par LSTI, et pour une fois, nous sommes même d'accord sur un point : le manque de contrôle dans les procédures d'évaluation du PASSI... (??? procédures humaines) C'est donc sur une nouvelle base que les discussions vont pouvoir repartir.

Il n'est d'ailleurs pas exclu qu'un journaliste ou deux supplémentaires prennent aussi la plume pour faire la lumière sur ce sujet important pour l'avenir de la cybersécurité en France.

Par ailleurs, on m'a soufflé à l'oreille qu'un concurrent de LSTI préparait son accréditation pour faire passer les examens PASSI. A moyen terme, le monopole devrait donc cesser, ce dont on ne peut que se réjouir.

Merci encore et bien sûr, je vous tiendrai au courant de toutes les avancées intéressantes concernant le sujet !


Bien cordialement,

Renaud Lifchitz

180 signatures
Signez avec votre email
Partager avec vos amis Facebook
Partagez la pétition avec vos amis :
Merci pour votre mobilisation
Vous avez déjà signé cette pétition
Aidez l'auteur à atteindre la victoire :
Partagez cette pétition avec vos amis
Je signe avec un autre email
41 commentaires
Le 04/11/2019 à 10:23:37
100% d'accord sur le fond
0
Marc - Le 04/11/2019 à 09:01:05
par simple désir de plus de transparence et de pluralité des acteurs dans ces procédures de qualification
0
Jeremy - Le 03/11/2019 à 15:36:01
J'ai moi aussi été interrogé à l'oral par un examinateur d'une société concurrente.
0
Voir tous les commentaires
- Pétitions -

Les pétitions soutenues par d'autres utilisateurs