La qualification PASSI n’est pas un label marketing ni un simple certificat de compétence : c’est un dispositif de confiance structuré, délivré par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), qui engage la responsabilité d’un cabinet d’audit sur l’ensemble de ses pratiques, de ses processus et de ses ressources humaines. Pour les organisations qui commandent un audit de sécurité, savoir ce que recouvre réellement cette qualification — ce qu’elle garantit, ce qu’elle ne garantit pas, et comment vérifier qu’un prestataire l’a effectivement obtenue — change radicalement la qualité du choix. Pour les cabinets qui souhaitent l’obtenir, le chemin est exigeant et mérite d’être balisé avec précision.
- La qualification PASSI est délivrée par l’ANSSI et atteste qu’un prestataire d’audit respecte un référentiel d’exigences strict portant sur ses méthodes, son personnel et ses processus.
- Elle couvre cinq périmètres d’audit distincts : architecture, configuration, code source, tests d’intrusion, audit organisationnel et physique — un prestataire peut être qualifié sur tout ou partie de ces périmètres.
- La qualification est valable trois ans et soumise à des audits de surveillance ; les auditeurs eux-mêmes doivent repasser des examens écrits et oraux à la même périodicité.
- Pour les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE), recourir à un prestataire qualifié PASSI est une obligation réglementaire.
- Avant de signer un contrat, vérifier la présence du prestataire sur la liste officielle de l’ANSSI et contrôler le périmètre exact de sa qualification est indispensable.
Qualification PASSI : définition et signification
PASSI est l’acronyme de Prestataire d’Audit de la Sécurité des Systèmes d’Information. Derrière cet intitulé administratif se cache un dispositif précis : la qualification PASSI désigne la reconnaissance formelle, par l’ANSSI, qu’un cabinet ou une société de conseil en cybersécurité satisfait à l’ensemble des exigences du référentiel PASSI pour réaliser des audits de sécurité dans des conditions de rigueur, de confidentialité et de traçabilité définies par l’État.
La confusion la plus répandue consiste à assimiler la qualification PASSI à une certification individuelle — comme s’il s’agissait d’un diplôme ou d’une accréditation personnelle délivrée à un consultant. Ce n’est pas le cas. C’est l’organisme prestataire qui est qualifié, pas l’auditeur à titre individuel. Un consultant brillant qui quitte un cabinet qualifié ne « emporte » pas la qualification avec lui. La qualification porte sur la structure : son organisation, ses processus, ses ressources humaines collectives, ses outils, sa démarche qualité.
Il ne faut pas non plus confondre la qualification PASSI avec d’autres référentiels de l’ANSSI qui couvrent des activités connexes mais distinctes :
- PACS (Prestataire d’Accompagnement et de Conseil en Sécurité) : conseil en homologation, gestion des risques, sécurité des architectures, gestion de crise cyber.
- PRIS (Prestataire de Réponse aux Incidents de Sécurité) : investigation numérique, analyse de codes malveillants, gestion de crise.
- PDIS (Prestataire de Détection d’Incidents de Sécurité) : détection d’incidents sur les systèmes d’information.
Ces référentiels coexistent dans le même écosystème de qualification de l’ANSSI, mais chacun couvre un métier distinct. Un prestataire peut cumuler plusieurs qualifications, mais chaque qualification s’obtient et se maintient séparément.
Enfin, la qualification PASSI s’inscrit dans le cadre du Règlement général de sécurité (RGS), ce qui lui confère une portée réglementaire directe pour certaines catégories d’organisations. Ce n’est donc pas une démarche volontaire sans conséquence : pour certains acteurs, c’est une exigence de conformité. Cette dimension stratégique est précisément ce que le référentiel PASSI vient encadrer.
Le référentiel PASSI : ce qu’il encadre et ce qu’il n’encadre pas
Le référentiel en vigueur est le PASSI – Référentiel d’exigences – v2.2, disponible également en version anglaise sous l’intitulé Cyber Security Audit Service Providers – Requirements Baseline – v2.2. Une version antérieure (v2.0) est désormais obsolète. L’évaluation des prestataires s’appuie sur la PASSI – Trame d’évaluation – v1.2, qui structure le travail de l’auditeur mandaté par l’ANSSI.
Le référentiel organise ses exigences autour de trois axes principaux :
- Le prestataire lui-même : organisation juridique, indépendance, politique de confidentialité, gestion des sous-traitants, code déontologique.
- Le personnel : niveaux de compétence requis par rôle, formation continue, habilitations, examens périodiques.
- Le déroulement des audits : méthodologie, traçabilité, protection des données collectées, qualité des livrables, gestion des risques liés à l’audit lui-même.
Sur la protection des données, le référentiel est particulièrement exigeant. Lors d’un audit de sécurité, le prestataire accède à des informations sensibles — topologies réseau, configurations, vulnérabilités, parfois des données personnelles. Le référentiel impose des règles strictes sur la collecte des preuves, leur stockage, leur localisation géographique et les canaux d’échange. L’accès est limité aux seules personnes habilitées sur la mission.
Ce que le référentiel n’encadre pas mérite d’être dit clairement : il ne garantit pas qu’un prestataire qualifié trouvera toutes les vulnérabilités d’un système. La qualification atteste de la qualité du processus, pas de l’omniscience technique. Elle ne fixe pas non plus les prix des prestations ni les délais d’intervention — ces éléments restent contractuels. Elle ne couvre pas non plus les activités de conseil en sécurité au sens large (c’est le domaine du PACS).
Le référentiel couvre cinq périmètres d’audit distincts, que l’on détaillera dans la section sur les périmètres qualifiés. Ce découpage est important : un prestataire peut être qualifié sur l’ensemble ou sur une partie seulement de ces périmètres, et cette distinction a des conséquences directes sur ce qu’il est autorisé à réaliser sous qualification.
Pourquoi la qualification PASSI est stratégique pour les organisations
Pour une organisation qui commande un audit de sécurité, choisir un prestataire d’audit de la sécurité des systèmes d’information qualifié PASSI n’est pas un réflexe bureaucratique. C’est une décision qui conditionne la valeur probante des résultats, la confidentialité des informations manipulées et, dans certains cas, la conformité réglementaire.
Sur le plan réglementaire, deux catégories d’organisations sont directement concernées :
- Les opérateurs d’importance vitale (OIV), dans le cadre de la loi de programmation militaire (LPM), ont l’obligation de faire appel à un prestataire qualifié PASSI pour leurs audits de sécurité.
- Les opérateurs de services essentiels (OSE), au titre de la directive européenne NIS (et de son évolution NIS 2), sont soumis à une exigence similaire.
Pour ces acteurs, le choix d’un prestataire non qualifié ne serait pas seulement un risque opérationnel — ce serait une non-conformité susceptible d’engager leur responsabilité.
Au-delà de l’obligation, la qualification PASSI apporte une réduction du risque contractuel et opérationnel. Lorsqu’un cabinet qualifié réalise un test d’intrusion ou un audit de configuration sur un système de production, les règles d’engagement sont encadrées, les preuves sont tracées, les rapports répondent à des exigences de qualité vérifiées. En cas de litige ou d’incident lié à l’audit, la traçabilité imposée par le référentiel constitue un filet de sécurité pour les deux parties.
Dans les marchés publics et appels d’offres, la qualification PASSI est de plus en plus fréquemment exigée comme critère de sélection, même en dehors des obligations LPM. Les directions des systèmes d’information des grandes administrations, des établissements de santé ou des collectivités territoriales l’intègrent dans leurs cahiers des charges comme gage de sérieux.
Enfin, pour les entreprises privées non soumises à obligation, la qualification PASSI reste un signal de confiance objectif : elle permet de comparer des prestataires sur une base normalisée, sans avoir à évaluer soi-même la robustesse de leurs méthodes ou la fiabilité de leur gestion de la confidentialité.
Qui est qualifié : prestataire, équipe, auditeurs et périmètres couverts
La qualification PASSI est attribuée à une personne morale — une société, un groupement, une entité juridique — et non à un individu. C’est le premier point à intégrer pour éviter les malentendus lors du choix d’un prestataire.
À l’intérieur de cette structure qualifiée, le référentiel distingue plusieurs rôles :
- Le responsable technique : garant de la qualité des audits réalisés sous qualification, il supervise les équipes et valide les livrables.
- Les auditeurs : ils réalisent les opérations techniques ou organisationnelles selon leur domaine de compétence. Leur niveau de qualification est vérifié lors de l’évaluation initiale.
- Les auditeurs en formation : ils peuvent participer aux missions sous la supervision d’un auditeur confirmé.
Un point souvent méconnu : les auditeurs doivent repasser des examens écrits et oraux tous les trois ans. Cette exigence de renouvellement périodique garantit que les compétences restent à jour face à l’évolution des menaces et des technologies. Ce n’est pas une formalité administrative — c’est une contrainte réelle qui pèse sur l’organisation du cabinet.
Le référentiel PASSI couvre cinq périmètres d’audit, et la qualification d’un prestataire peut porter sur tout ou partie de ces périmètres :
| Périmètre d’audit | Objet principal |
|---|---|
| Audit d’architecture | Analyse de la conception des systèmes et réseaux |
| Audit de configuration | Vérification des paramétrages des équipements et systèmes |
| Audit de code source | Revue de sécurité du code applicatif |
| Tests d’intrusion | Simulation d’attaques pour identifier les vulnérabilités exploitables |
| Audit organisationnel et physique | Évaluation des processus, politiques et sécurité physique |
Cette granularité est essentielle côté client : un prestataire qualifié uniquement sur les tests d’intrusion ne peut pas réaliser un audit d’architecture sous qualification PASSI. Vérifier le périmètre exact de la qualification avant de signer un contrat n’est pas un détail — c’est une condition de validité de la démarche.
Concrètement, lors d’une mission réalisée sous qualification, seules les activités couvertes par le périmètre qualifié du prestataire bénéficient des garanties du référentiel. Si un cabinet propose des prestations hors périmètre qualifié, elles sortent du cadre PASSI, même si le cabinet est par ailleurs qualifié sur d’autres périmètres.
Étapes clés pour obtenir la qualification PASSI
Le parcours de qualification PASSI est structuré et non linéaire : il demande une préparation interne sérieuse avant même de déposer un dossier. Les cabinets qui sous-estiment cette phase préparatoire allongent considérablement leur délai d’obtention.
Phase 1 : l’autoévaluation et la mise à niveau interne
Le prestataire commence par analyser son écart avec les exigences du référentiel v2.2. Cela implique de cartographier ses processus existants (gestion des missions, traçabilité, confidentialité, compétences), d’identifier les manques et de construire un plan de mise en conformité. Cette phase peut durer plusieurs mois selon la maturité initiale du cabinet.
Phase 2 : la constitution du dossier technique
Le dossier soumis à l’ANSSI est détaillé et structuré. Il doit couvrir notamment :
- La description de l’organisation et des responsabilités internes.
- Les processus d’analyse des risques liés aux missions d’audit.
- Les pratiques techniques par périmètre d’audit demandé (méthodes d’intrusion, de revue de code, d’audit organisationnel…).
- La politique de confidentialité et de protection des données.
- La gestion des compétences et les preuves de qualification des auditeurs.
- Le code déontologique adopté par le cabinet.
- La démarche d’amélioration continue.
Phase 3 : l’audit sur site
Un auditeur mandaté par l’ANSSI conduit un audit sur site du prestataire. Il vérifie la conformité réelle — pas seulement documentaire — du système de management, des processus, des outils et des compétences. Des entretiens avec les auditeurs, des démonstrations techniques et une vérification des preuves de traçabilité sont au programme. C’est souvent à cette étape que les dossiers bien préparés sur le papier révèlent des lacunes dans la pratique réelle.
Phase 4 : traitement des non-conformités et décision
Le rapport d’audit identifie les écarts constatés. Le prestataire dispose d’un délai pour apporter les corrections nécessaires. Une fois le rapport validé et les réponses aux non-conformités acceptées, l’ANSSI délivre la qualification. Le prestataire est alors inscrit sur la liste officielle des prestataires qualifiés.
Phase 5 : le maintien de la qualification
La qualification est valable trois ans. Pendant cette période, des audits de surveillance permettent de vérifier que le niveau d’exigence est maintenu. À l’issue des trois ans, un renouvellement de qualification est nécessaire — il suit un processus similaire à l’obtention initiale. Les auditeurs, de leur côté, doivent repasser leurs examens à la même périodicité.
Les points de vigilance qui font échouer les dossiers sont récurrents : traçabilité insuffisante des missions passées, politique de confidentialité non opérationnelle (rédigée mais non appliquée), compétences des auditeurs non formalisées ou non actualisées, absence de processus documenté de gestion des risques liés aux audits.
Lancer un audit PASSI : cadrage, déroulement et livrables attendus
Côté client, commander un audit à un prestataire qualifié PASSI suppose un travail de cadrage préalable qui conditionne directement la qualité des résultats. Un audit mal cadré produit des livrables moins exploitables, même si le prestataire est excellent.
Définir le périmètre d’audit est la première étape. Il s’agit de délimiter précisément les systèmes, applications, réseaux ou processus concernés. Un périmètre trop large dilue l’effort ; un périmètre trop étroit peut laisser dans l’ombre des vecteurs d’attaque critiques. Le choix du type d’audit découle directement de cet exercice :
- Un audit d’architecture est pertinent lors de la conception ou de la refonte d’un système.
- Un audit de configuration cible les équipements déployés (pare-feux, serveurs, annuaires).
- Un test d’intrusion simule une attaque réelle pour identifier les vulnérabilités exploitables dans un contexte opérationnel.
- Un audit de code source s’applique aux développements internes ou aux logiciels tiers critiques.
- Un audit organisationnel et physique évalue les politiques, procédures et contrôles d’accès physiques.
Organiser les accès et contraintes est souvent sous-estimé. Le prestataire aura besoin d’accès techniques (comptes de test, accès réseau, documentation d’architecture), de contacts internes (équipe technique, responsable sécurité), et d’une définition claire des plages horaires autorisées pour les tests. Pour un test d’intrusion sur un système de production, la coordination avec les équipes d’exploitation est indispensable pour éviter des interruptions de service non souhaitées.
Les livrables attendus d’un audit PASSI comprennent typiquement :
- Un rapport technique détaillé listant les vulnérabilités identifiées, leur niveau de criticité, les preuves associées et les recommandations de correction.
- Un rapport de synthèse à destination des décideurs, avec une vision consolidée du niveau de risque.
- Une restitution orale permettant d’échanger sur les résultats, de prioriser les actions et de clarifier les points techniques.
La qualité des rapports est l’un des points de contrôle du référentiel PASSI. Un prestataire qualifié ne peut pas se contenter d’une liste brute de vulnérabilités sans contextualisation ni recommandations actionnables. Cette exigence de qualité documentaire est l’une des différences concrètes entre un prestataire qualifié et un cabinet non qualifié.
La durée d’un audit varie fortement selon le type et le périmètre : quelques jours pour un audit de configuration ciblé, plusieurs semaines pour un test d’intrusion sur un système complexe ou un audit organisationnel complet. Ce point doit être discuté et formalisé dans le contrat avant le démarrage.
Vérifier un prestataire PASSI et éviter les confusions fréquentes
La première vérification à effectuer est la plus simple : consulter la liste des prestataires qualifiés publiée et maintenue par l’ANSSI sur son site officiel. Cette liste est à jour et constitue la seule source fiable. Un prestataire qui se prétend qualifié PASSI sans figurer sur cette liste n’est pas qualifié — quelle que soit la qualité de sa communication commerciale.
La deuxième vérification, souvent négligée, porte sur le périmètre exact de la qualification. La liste de l’ANSSI indique, pour chaque prestataire qualifié, les périmètres d’audit couverts. Un prestataire peut être qualifié uniquement sur les tests d’intrusion et l’audit de configuration, mais pas sur l’audit de code source. Si votre besoin porte sur ce dernier périmètre, ce prestataire ne peut pas intervenir sous qualification PASSI pour cette activité spécifique.
Quelques confusions fréquentes méritent d’être dissipées :
- PASSI vs PACS : ces deux qualifications sont souvent confondues dans les appels d’offres. Le PACS couvre le conseil en sécurité (homologation, gestion des risques, architecture) ; le PASSI couvre les audits techniques et organisationnels. Ce sont deux métiers distincts.
- Qualification vs certification ISO : une certification ISO 27001 ou ISO 9001 n’est pas équivalente à la qualification PASSI. Elles peuvent coexister, mais elles attestent de choses différentes.
- Auditeur qualifié vs prestataire qualifié : comme rappelé précédemment, c’est le cabinet qui est qualifié, pas l’individu. La présence d’un consultant ayant travaillé dans un cabinet qualifié ne suffit pas.
Avant de signer un contrat, les questions à poser au prestataire sont :
- Quelle est la référence de votre qualification sur la liste ANSSI ?
- Sur quels périmètres êtes-vous qualifié, et la prestation demandée entre-t-elle dans ce périmètre ?
- Quelle est la date d’échéance de votre qualification actuelle ?
- Les auditeurs affectés à notre mission sont-ils bien rattachés à votre structure qualifiée ?
- Comment gérez-vous la confidentialité et la destruction des données collectées en fin de mission ?
Sur la question du prix, il n’existe pas de tarification réglementée liée à la qualification PASSI. Les prix varient selon le type d’audit, la complexité du périmètre, la durée et la localisation. La qualification garantit la qualité du processus, pas un niveau de prix. Un écart tarifaire important entre deux prestataires qualifiés sur un même périmètre doit conduire à analyser les différences de périmètre technique proposé, et non à retenir automatiquement le moins-disant.
FAQ
C’est quoi la certification PASSI ?
La qualification PASSI n’est pas une certification au sens traditionnel du terme : c’est une qualification délivrée par l’ANSSI à un prestataire d’audit de la sécurité des systèmes d’information, attestant qu’il respecte le référentiel d’exigences PASSI v2.2 dans ses méthodes, son organisation et la gestion de ses ressources humaines. Elle est valable trois ans et soumise à des audits de surveillance.
Quelles sont les étapes de la certification ?
Le parcours comprend une autoévaluation interne, la constitution d’un dossier technique détaillé, un audit sur site mené par un auditeur mandaté par l’ANSSI, le traitement des non-conformités éventuelles, puis la délivrance de la qualification. Le maintien requiert des audits de surveillance et un renouvellement tous les trois ans.
Qu’est-ce que le référentiel PASSI ?
Le référentiel PASSI – Référentiel d’exigences – v2.2 est le document publié par l’ANSSI qui définit l’ensemble des exigences auxquelles doit satisfaire un prestataire pour être qualifié. Il couvre les exigences relatives au prestataire lui-même, à son personnel et au déroulement des audits, sur cinq périmètres : architecture, configuration, code source, tests d’intrusion, audit organisationnel et physique.
Que signifie « PASSI » ?
PASSI est l’acronyme de Prestataire d’Audit de la Sécurité des Systèmes d’Information. Ce sigle désigne à la fois la catégorie de prestataires concernés et la qualification elle-même, telle que définie et délivrée par l’ANSSI dans le cadre du Règlement général de sécurité.
La qualification PASSI reste, à ce jour, l’un des rares dispositifs publics qui permet à une organisation de s’appuyer sur une garantie externe, structurée et vérifiable pour choisir un prestataire d’audit de sécurité. Dans un marché où les offres se multiplient et où les allégations de compétence sont difficiles à évaluer sans expertise interne, cette garantie a une valeur concrète — à condition de savoir précisément ce qu’elle couvre.
