Le 25/03/2020
[Informations - 5ème point d'étape - 24 mars 2020]
Bonjour à tous,
J'ai été informé, ce 18 mars 2020, de la citation à comparaître pour diffamation au tribunal correctionnel de Rennes, de Marc Brami, directeur des publications de Global Security Mag, l'un des plus gros médias cybersécurité en France, pour avoir publié une interview de moi sur l'oral du PASSI, révélant notamment le contenu du procès-verbal des oraux de LSTI :
https://www.globalsecuritymag.fr/Renaud-Lifchitz-Quid-de-l,20200210,95497.html
LSTI s'attaque donc frontalement à la liberté de la presse, et ce sans avertissement à ce média, ni demande de droit de réponse... J'attends toujours de recevoir ma propre citation à comparaître car je suis aussi poursuivi en tant que "complice" dans ce dossier. La solidarité a joué à fond car j'ai reçu des propositions de 12 avocats pour ma défense en à peine 24 heures, merci à tous pour votre soutien !
LSTI a ces dernières semaines publié sur LinkedIn et Twitter différents messages diffamants et dénigrants, aussi je leur ai envoyé un courrier recommandé de mise en demeure de retrait de ces contenus, ainsi que du respect de la présomption d'innocence de Global Security Mag et moi-même. Ces différents contenus seront versés à la procédure, ce qui n'arrangera pas les affaires de LSTI qui porte plainte pour diffamation mais diffame (avant et après) en toute impunité de son côté, on voit encore la cohérence dans leur discours !
Dans sa procédure, LSTI écrit au juge un nombre incroyable de mensonges, je suis encore à l'heure actuelle en train de tous les recenser... Tenez par exemple, par rapport au site MesOpinions, page 14 : "Il est également fait remarquer que la pétition mise en ligne par Monsieur LIFCHITZ n'a été signée que par des anonymes..." C'est bien évidemment faux. Sur la partie publique du site seuls vos prénoms et villes sont affichés par respect pour le RGPD, mais l'auteur de la pétition peut à tout moment télécharger l'ensemble des signatures et commentaires avec date, heure, prénom, nom, adresse, code postal, ville... Rassurez-vous, il est hors de question que je communique la moindre de ces informations à LSTI, c'est ma priorité numéro un devant la défense de mes propres intérêts s'il le faut :) Je montrerai juste au juge, si nécessaire, que LSTI ment effrontément (ici par ignorance du fonctionnement de MesOpinions), mais très souvent ailleurs par pure mauvaise foi.
D'autre part, le journal Le Mag IT vient de publier un article résumant bien ma démarche de recherche de probité, de vérité et de transparence pour les oraux des examens PASSI organisés par LSTI. L'accès à l'article est gratuit ici :
https://www.lemagit.fr/actualites/252480551/Passe-darmes-dans-le-microcosme-des-prestataires-daudit-des-SIIV
Vous pourrez le constater, il parle aussi de votre exceptionnelle mobilisation, merci à vous et n'hésitez pas à communiquer autour de vous sur ce sujet essentiel pour le sérieux de notre profession !
A bientôt,
Renaud Lifchitz
Le 02/03/2020
Le 02/03/2020
[Informations - 4ème point d'étape - 2 mars 2020]
Juste pour vous tenir informé de la confirmation officielle d'un second prestataire qui sera probablement bientôt habilité à délivrer la qualification PASSI aux entreprises et candidats.
Ce prestataire sera Certi Trust : https://www.linkedin.com/company/certi-trust/about/
On ne peut que se réjouir d'une concurrence plus saine dans ce domaine.
A bientôt,
Renaud Lifchitz
Le 06/02/2020
[Informations - 3ème point d'étape - 6 février 2020]
Oral du PASSI : LSTI joue maintenant les victimes plutôt que d'améliorer ses procédures...
Bonjour LSTI,
J'ai bien reçu votre lettre de mise en demeure pour diffamation ce jeudi 6 février 2020.
Alors déjà, je rectifie votre première phrase qui est d'entrée de jeu fausse, puisque mes réclamations ne sont pas liées à un échec comme vous l'affirmez mais à la répétition de faits irréguliers me portant un important préjudice professionnel, et à la répétition très récente de ces faits pour plusieurs amis et collègues, à laquelle je souhaite mettre fin. La meilleure preuve c'est le tout premier point a) sur ma lettre ouverte qui porte sur un oral sur lequel j'ai obtenu toutes les portées PASSI que je visais, mais irrégulièrement réussi en raison de procédures défaillantes de votre part (cf. ma lettre ouverte https://www.mesopinions.com/petition/justice/nombreuses-irregularites-aux-oraux-examens-passi/75494). Par ailleurs, si ces réclamations étaient liées à l'échec que vous citez, elles n'auraient pas eu lieu 2 ans et demi après, soit quasiment en fin de validité de ma qualification PASSI ! Ce que vous affirmez dans votre première phrase est donc faux, sans liaison causale ni même temporelle. Par ailleurs, je vous rappelle que j'ai décroché lors de mon dernier examen plusieurs portées PASSI, ce que vous qualifiez "d'échec"... On ne peut pas rêver plus absurde de votre part !
Il y a 6 raisons pour lesquelles il n'y a pas diffamation de ma part, ce qui fait autant de raisons pour lesquelles je continuerai de tenir informé mes confrères qui travaillent en cybersécurité de cette procédure :
1) Le fait a été porté au public volontairement de votre part :
Il a notamment fait déjà l'objet d'un article journalistique auquel vous avez volontairement participé et été interviewé : https://www.lemagit.fr/actualites/252473810/Audits-un-socle-de-confiance-fissure-pour-la-securite-des-SI-des-OIV
Vous ne pouvez en aucun cas prétexter une diffamation que vous avez vous-même alimentée volontairement et médiatiquement !
2) Usage de votre droit de réponse :
Vous avez pu user de votre droit de réponse en toute liberté et vous l'avez d'ailleurs fait à plusieurs reprises :
- Dans un post LinkedIn que vous avez depuis silencieusement supprimé dans votre fil officiel d'actualité : https://www.linkedin.com/company/lsti/
- Dans votre interview dans l'article journalistique cité ci-dessus
- Plusieurs tweets sur Twitter
3) Aucune intentionnalité de nuire :
J'ai procédé à de très nombreux échanges privés avec LSTI (notamment une lettre recommandée datée du 19 mai 2019 puis une vingtaine de mails s'en sont suivis) avant l'écriture d'une lettre ouverte le 2 novembre 2019. Si ma volonté était de nuire, je n'aurais pas demandé à plusieurs reprises une conciliation et attendu 6 mois en rédigeant des correspondances privées avec vous.
4) Vérité des propos :
La violation de la règlementation (RGPD) par votre société est factuelle et prouvable, tous les documents sont datés et connus des 2 parties. Vous procédez à de la collecte de données personnelles déloyale et illicite et vous les conservez en dehors des délais légaux (cf. mon article LinkedIn : https://www.linkedin.com/pulse/oral-du-passi-lsti-n%C3%A9coute-pas-et-continue-de-renaud-lifchitz/)
5) Bonne foi :
Je n'ai aucun conflit préalable à vous et le seul but légitime de ma lettre ouverte et de ses mises à jour est d'informer sur un scandale de grande ampleur qui porte atteinte à la légitimité de milliers d'emplois en France. Par ailleurs, les accusations sont multiples, écrites, datées et recoupées par de nombreux témoignages (cf. commentaires publics de ma lettre ouverte). Si la presse s'en est mêlé, c'est la meilleure preuve indépendante qu'il s'agit d'informer le public.
6) Sur le retrait des contenus :
Il n'en est pas question, tant qu'ils respectent la loi et qu'il ne m'est pas prouvé le contraire. Par ailleurs, plusieurs sites dont je ne suis pas le responsable éditorial comme mesopinions.com n'ont aucune fonctionnalité technique de retrait à proprement parler. Par ailleurs, il m’apparaîtrait invraisemblable d'aller aussi museler la presse que vous avez vous-même alimentée !
La seule issue est une sortie par le haut de votre part, en modifiant ces processus défaillants que j'ai largement décrits et documentés. Je soutiens la qualification PASSI et l'ANSSI qui la propose, et me préoccupe de sa légitimité et de son image au vu des nombreux incidents émaillants son passage par votre organisme.
Bien cordialement,
Renaud Lifchitz
Le 31/01/2020
[Informations - 2ème point d'étape - 26 janvier 2020]
Oral du PASSI : LSTI n'écoute pas et continue de s'enfoncer...
Bonjour à tous,
Encore merci pour votre soutien et excellente nouvelle année à tous !
Les choses bougent, j'ai quatre (plutôt) bonnes nouvelles :
a) Sur l'ouverture à la concurrence :
2020 devrait être l'année de l'ouverture à la concurrence du passage de la qualification PASSI avec un, voire deux concurrents à LSTI, qui devraient être accrédités prochainement d'après des sources proches ("stay tuned!") malgré un petit obstacle (j'ignore si l'obstacle est volontaire ou non) qui doit être levé... Il faudra donc surveiller attentivement le premier tableau ici : https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/organismes-habilites-a-proceder-a-la-qualification/
La concurrence devrait assainir le marché du PASSI et faire privilégier la qualité au service minimum et médiocre d'un acteur overbooké... Pour ma part, *je boycotte LSTI* pour tous mes choix actuels et futurs tant que la procédure orale du PASSI n'est pas écrite (là, elle relève de la tradition orale), qu'elle est monopolistique pour un acteur unique du privé, qu'elle n'inclue pas de contrôle sur les conflits d'intérêts, l'objectivité de l'examen et qu'elle n'autorise aucun recours du candidat. C'est tout simplement inacceptable et suffisamment méprisant.
b) Sur les conflits d'intérêts :
LSTI s'en est bien caché, mais a commencé à se poser quelques questions, en changeant notamment *silencieusement* le contenu des convocations aux oraux du PASSI, qui incluent désormais la liste des membres du jury qui vous examineront... Curieux comme principe de laisser quelques semaines au candidat pour établir une collusion avec des gens dont il ignorait jusqu'ici l'identité... Sans doute lié au fait que j'avais dénoncé des conflits d'intérêts entre candidats et membres du jury de l'oral, et que les membres du jury ont jusqu'ici échoué à se retirer d'eux-mêmes lors de conflits d'intérêts, on laisse maintenant le choix au candidat de refuser un jury, en plus de risques de collusions jusqu'ici inexistants... A mon avis une tentative maladroite de LSTI pour un organisme qui ne veut pas mettre en place de contrôle indépendant et déléguer un maximum de choses aux autres en leur faisant aveuglément confiance, on voit à quoi cela a mené dans les situations que j'ai décrites...
c) Sur les règles non écrites de LSTI :
Par ailleurs, j'ai enfin obtenu mon "procès-verbal d'examen oral du PASSI" de la part de LSTI, qui avait jusqu'ici refusé de me le fournir, arguant que c'était seulement à mon employeur de le demander (encore une règle non écrite), absurde quand on sait que l'employeur n'a pas connaissance du contenu de l'examen et que la charte du candidat lui interdit d'en parler à son employeur... Comment prévoir l'unique recours par l'unique absent à l'examen oral ? Cela n'a aucun sens. Quand je conteste une décision de justice, je le fais moi-même, je n'ai pas à demander à quelqu'un qui ne connait pas son contenu de faire un recours. On voit que les règles orales de LSTI n'en sont pas vraiment, car j'ai quand même obtenu ce document, ils ont brisé leur propre règle sur le sujet.
Ce document d'une page qu'on vous fait forcément signer à la fin de l'oral (je croyais que c'était une signature d'émargement et de présence, d'autant que le document en question m'a été caché par une feuille blanche). J'ai un ami qui a passé ce même oral du PASSI il y a moins de deux mois, et je peux vous dire qu'on ne vous permet, à l'heure actuelle, *toujours pas* de lire ce document avant de le signer, contrairement à ce qu'affirme LSTI, c'est maintenant confirmé par d'autres personnes sur des situations très récentes.
d) Sur de magnifiques violations de la loi française et communautaire par LSTI :
Mon dernier oral et son "procès-verbal d'examen oral du PASSI" de LSTI datent du 13 décembre 2016. La CNIL a depuis longtemps établi que "les tests et épreuves à caractère psychotechnique constituent une collecte d'informations nominatives au sens de la loi du 6 janvier 1978" (délibération n°85-50 du 22 octobre 1985), règle depuis largement étendue et généralisée par le RGPD.
J'ai dès lors, plusieurs remarques d'ordre juridique :
1) LSTI a procédé à une collecte de données *déloyale et illégale*, le candidat n'ayant pas été prévenu des types de données nominatives qui allait être collectées par écrit sur leur candidature durant l'oral du PASSI, notamment les jugements subjectifs sur le candidat qui sont formulés sur ce document dont il ne connait pas l'existence avant de le découvrir déjà rempli en fin d'examen.
2) LSTI refuse de communiquer au candidat à titre personnel ce document (voir point c), c'est une violation des plus élémentaires du droit d’accès aux informations personnelles le concernant. La règle de LSTI concernant donc la demande et l'accès uniquement par l'employeur est donc parfaitement *illégale*.
3) LSTI *conserve illégalement*, au-delà de tout délai légal et de toute justification proportionnée, ces données personnelles au-delà de 6 mois (le document date du 13 décembre 2016 et m'a été remis précisément le 23 janvier 2020, après une première demande à l'automne 2019), quand bien même le seul document qui lui soit nécessaire de conserver est l'attestation PASSI comportant uniquement les résultats des examens.
LSTI viole donc en toute impunité à 3 reprises les lois dites "informatique et libertés" et le RGPD depuis au moins 3 ans, ce que je vais lui notifier immédiatement. C'est un comble pour un organisme qui fait de la certification... de conformité ! LSTI risque 20 millions d'euros d'amende ou 4% de son chiffre d'affaires si elle continue de violer la loi dans ses procédures.
Je continue bien évidemment les différentes procédures possibles (il y en a plusieurs en cours !) et je vous informerai ici des avancées.
Bien cordialement,
Renaud Lifchitz
Le 12/11/2019
[Informations - 1er point d'étape]
Bonjour à tous,
Un grand merci à vous pour votre soutien et parfois votre relai de cette lettre ouverte, qui je l'espère, contribuera à améliorer l’objectivité, l’impartialité, la transparence et l’absence de conflits d’intérêts dans l'attribution de cette qualification, et ainsi renforcera sa valeur et son image. Un merci particulier à ceux qui m'ont aussi envoyé leur témoignage en privé, témoignages qui m'ont été très utiles dans les discussions que je continue d'avoir avec LSTI, le COFRAC et l'ANSSI.
Vous avez été plus de 150 à soutenir cette initiative moins de 48h après son lancement, alors merci ! Cet engouement a attiré les médias, et aujourd'hui une enquête vient d'être publiée par "Le Mag IT", que je vous laisse découvrir ici :
https://www.lemagit.fr/actualites/252473810/Audits-un-socle-de-confiance-fissure-pour-la-securite-des-SI-des-OIV
Pour la première fois depuis le début des échanges, des erreurs sont avouées à demi-mot par LSTI, et pour une fois, nous sommes même d'accord sur un point : le manque de contrôle dans les procédures d'évaluation du PASSI... (??? procédures humaines) C'est donc sur une nouvelle base que les discussions vont pouvoir repartir.
Il n'est d'ailleurs pas exclu qu'un journaliste ou deux supplémentaires prennent aussi la plume pour faire la lumière sur ce sujet important pour l'avenir de la cybersécurité en France.
Par ailleurs, on m'a soufflé à l'oreille qu'un concurrent de LSTI préparait son accréditation pour faire passer les examens PASSI. A moyen terme, le monopole devrait donc cesser, ce dont on ne peut que se réjouir.
Merci encore et bien sûr, je vous tiendrai au courant de toutes les avancées intéressantes concernant le sujet !
Bien cordialement,
Renaud Lifchitz
FR
EN