Qu'est-ce que le référentiel PASSI de l'ANSSI ?
Le PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) est une qualification établie dans le cadre du Référentiel Général de Sécurité (RGS) de l'ANSSI. Elle vise à garantir la compétence, l'impartialité et la fiabilité des entreprises réalisant des audits techniques de sécurité. Dans ce cadre, LSTI est habilité à évaluer la conformité des prestataires, après avoir vérifié que le prestataire respecte des exigences strictes, et à procéder à la qualification sur la version 2.0.
Les exigences du référentiel s'articulent autour de 5 domaines d’audit :
- Organisation et physique,
- Architecture,
- Configuration,
- Tests d'intrusion,
- Code.
Elles portent également sur la compétence des auditeurs (validée par des examens), la sécurité des processus d’audit, ainsi que la protection de l’information sensible (jusqu’au niveau Diffusion Restreinte).
La qualification PASSI constitue un indicateur de confiance essentiel pour les organismes publics et privés, notamment ceux soumis à des exigences réglementaires fortes.
De PASSI 2.0 à PASSI 2.2 : évolution des portées d’audit
L'évolution du référentiel a profondément modifié la manière dont les domaines techniques (appelés « portées ») et les niveaux d'exigences sont évalués :
- La gestion des portées sous le référentiel PASSI 2.0 : Dans cette version historique, le référentiel standardisait l'accès à la qualification autour de 5 portées d'audit immuables (organisation et physique, architecture, configuration, tests d'intrusion, et code source). Les exigences de sécurité pour le système d'information du prestataire et la validation des compétences des auditeurs (via des examens écrits et oraux obligatoires) étaient identiques pour tous, quel que soit le type de client final ou la sensibilité des systèmes ciblés par l'audit.
- L'évolution des portées sous le référentiel PASSI 2.2 : Entrée en vigueur le 1er août 2024, la version 2.2 introduit une flexibilité majeure en segmentant chaque portée d'audit selon deux niveaux d'assurance : Substantiel ou Élevé. Un prestataire peut désormais choisir, pour une même portée (par exemple, les tests d'intrusion), le niveau d'exigence adapté à son marché. Le niveau Substantiel allège le processus en validant les compétences sur dossier à partir de prestations passées. À l'inverse, le niveau Élevé maintient le passage des examens pour les auditeurs, impose une observation en direct sur le terrain (audit in situ), et exige un système d'information obligatoirement homologué Diffusion Restreinte [II_901] pour traiter l'ensemble des données d'audit.
Évolution de la gouvernance du référentiel PASSI
La gouvernance et les modalités de délivrance de cette qualification varient selon la version du référentiel appliquée :
- Sous le référentiel PASSI 2.0 (Historique) : L'ANSSI déléguait formellement la décision finale de qualification à LSTI dans le cadre de la réglementation en vigueur. LSTI était ainsi directement habilité à délivrer la qualification après avoir vérifié la conformité du prestataire.
- Sous le référentiel PASSI 2.2 (En vigueur) : La gouvernance est modifiée. LSTI est habilité par l'ANSSI à mener l'évaluation et à délivrer une certification de conformité. C'est ensuite l'ANSSI qui prend seule la décision finale de qualification sur la base du rapport de conformité transmis par LSTI.
Quels sont les enjeux de la qualification PASSI ?
Recourir à un prestataire qualifié PASSI présente des avantages décisifs pour la sécurité du SI de l'organisation :
- Impartialité et confiance : Assurance d'un audit mené en toute impartialité et indépendance, répondant aux exigences les plus élevées de l'ANSSI.
- Expertise vétéran : Garantie que les auditeurs disposent des compétences techniques et méthodologiques validées par des examens rigoureux.
- Sécurité des données d'audit : Engagement du prestataire à appliquer des mesures de protection de l'information (niveau Diffusion Restreinte) pour les données sensibles collectées.
- Qualité des livrables : Obtention de rapports d'audit clairs et exploitables, basés sur des processus d'audit rigoureux et des méthodes reconnues.
- Couverture technique complète : Possibilité de choisir des prestataires qualifiés pour les différents types d'audits nécessaires (tests d'intrusion, audit de code, etc.).
- Conformité au RGS : Démonstration de la diligence raisonnable en matière de sécurité, essentielle pour les organisations soumises au RGS ou cherchant un haut niveau de cybersécurité.
Une obligation légale pour les Opérateurs d'Importance Vitale
Pour les Opérateurs d'Importance Vitale (OIV), le recours à un prestataire qualifié PASSI ne relève pas d'une simple bonne pratique, mais d'une obligation réglementaire majeure dictée par la Loi de
Programmation Militaire (LPM) et le Code de la Défense :
- Audits obligatoires des SIIV : Les arrêtés sectoriels de la LPM imposent aux OIV de faire auditer périodiquement leurs Systèmes d'Information d'Importance Vitale (SIIV).
- Exclusivité des prestataires qualifiés : Ces audits de conformité et de sécurité ne peuvent être commandités qu'auprès de structures qualifiées PASSI par l'ANSSI.
- Garantie de souveraineté : Cette obligation garantit à l'État et à l'OIV que les failles touchant les infrastructures critiques de la Nation sont manipulées par des professionnels de confiance et stockées sur des systèmes d'information hautement protégés.
Le gage d'une sécurité de niveau étatique pour les organisations
Pour les structures qui ne sont pas des OIV (entreprises privées, PME, ETI ou collectivités territoriales), faire appel à un prestataire qualifié PASSI constitue le plus haut gage de qualité, de rigueur et de sécurité du marché. C'est l'assurance de bénéficier du même niveau d'exigence, de protection des données et d'excellence technique que celui requis pour les infrastructures critiques de l'État.
À qui s'adresse la qualification PASSI ?
La qualification PASSI s'adresse à toutes les entreprises, cabinets de conseil, ESN ou administrations publiques qui réalisent des prestations d'audit de sécurité.
Elle est structurée autour de 5 activités d'audit distinctes. Le prestataire candidat peut choisir de se faire évaluer sur une seule, plusieurs ou la totalité de ces portées :
- Audit d'organisation et physique : Analyse des politiques de sécurité, de la gouvernance et de la sécurité des locaux.
- Audit d'architecture : Analyse de la configuration réseau, du cloisonnement et de la robustesse conceptuelle du SI.
- Audit de configuration : Vérification détaillée des systèmes, des serveurs, des postes de travail et des équipements de sécurité.
- Audit de code source : Analyse approfondie des applications pour détecter les failles de développement.
- Tests d'intrusion (Pentest) : Simulation d'attaques réelles pour identifier et exploiter les vulnérabilités d'un périmètre donné.
Comment se déroule l'audit d'évaluation par LSTI ?
L'audit d’évaluation initiale mené par LSTI s'organise selon un processus réglementé comprenant quatre grandes étapes :
1. Le plan d'évaluation : Avant les opérations, LSTI formalise et transmet au prestataire, ainsi qu’à l’ANSSI (au moins deux semaines à l’avance), un document détaillant la stratégie et le déroulement prévu de l'audit (DT208).
2. L'Évaluation Siège : Elle se structure en deux temps :
- L'étude documentaire à distance : Analyse approfondie de la documentation pour appréhender l'organisation du prestataire et valider sa préparation. L'audit sur site doit intervenir au maximum 6 mois après cette étude.
- L'audit sur site : Organisé dans les locaux du prestataire, il débute par une réunion d'ouverture (présentations, modalités d'accès, validation des prestations témoins), se poursuit par des investigations matérielles et logiques (processus, locaux, sécurité du SI) avec des points journaliers, et s'achève par une réunion de clôture pour valider les conclusions et les fiches d'écarts.
3. Les Évaluations Observations Témoins : LSTI contrôle la pratique terrain du prestataire selon le niveau d'assurance visé :
- Niveau Substantiel : Évaluation documentaire « post-mortem » réalisée lors de l'audit siège (analyse des plans et rapports de cas clients passés), sans déplacement chez les clients.
- Niveau Élevé : Déplacement d'évaluateurs pour observer en direct une prestation réelle chez un client (durée minimale d'une journée). Une activité est observée pour 1 ou 2 portées candidatées, et deux activités à partir de 3 portées.
4. Le traitement et la décision : Le responsable d'audit remet ses rapports et fiches d'écarts à LSTI dans un délai d'un mois. Après une revue indépendante de l'ensemble du dossier (incluant les résultats d'examens des auditeurs), la direction générale de LSTI prend la décision finale d'octroi ou de refus de la certification de conformité et la notifie à l'ANSSI.
Pour le niveau Élevé, l'obtention de la conformité requiert obligatoirement qu’au moins un auditeur ou responsable d'équipe ait passé et validé avec succès les examens écrits et oraux pour chaque portée technique candidatée.
Quelle est la durée de validité de la qualification PASSI ?
La qualification est délivrée par LSTI pour trois ans, sous réserve de la réalisation d’audit de surveillance à 18 mois suivant la qualification initiale ou de renouvellement. Pour le niveau élevé, les auditeurs doivent également passer les examens écrits et oraux tous les 3 ans.
Les prestataires qualifiés sont présents sur le site de LSTI ainsi que sur le site de l’ANSSI.
Vos questions sur la qualification PASSI
-
Quelles sont les nouveautés de la version 2.2 du référentiel PASSI ?
Entrée en vigueur le 1er août 2024, la version 2.2 du référentiel PASSI introduit une refonte majeure pour s'aligner sur les menaces actuelles. Les principales évolutions incluent la création de deux niveaux d'assurance distincts (Substantiel et Élevé), un durcissement des exigences de sécurité applicables au propre système d'information (SI) du prestataire d'audit, et une mise à jour des programmes d'examens intégrant les nouvelles réglementations européennes (comme la directive NIS 2).
-
Quelles sont les différences opérationnelles lorsqu'un client confie ses données à un prestataire PASSI de niveau « Substantiel » par rapport à un niveau « Élevé » ?
Du point de vue du commanditaire de l'audit (le client), le choix entre un prestataire PASSI de niveau Substantiel ou Élevé change la manière dont ses informations sensibles seront traitées et sécurisées :
- Avec un PASSI de niveau Substantiel : Le prestataire traite les informations de l'audit sur un système d'information qui respecte les bonnes pratiques de sécurité classiques (niveau Standard du Guide d'Hygiène de l'ANSSI). Ce niveau est adapté pour les audits de systèmes d'information courants et non classifiés.
- Avec un PASSI de niveau Élevé : Le niveau de sécurité est maximal et calibré pour les infrastructures critiques (comme les OIV ou les administrations publiques). Le prestataire a l'obligation légale d'utiliser un système d'information homologué Diffusion Restreinte (DR) pour exécuter sa mission, et ce, quel que soit le marquage initial des documents fournis par le client. Toutes les données de l'audit (rapports, captures d'écran, cartographies, vulnérabilités découvertes) sont ainsi protégées par des mesures physiques et logicielles strictes, conformes à l'instruction nationale [II_901], interdisant toute fuite d'information vers des réseaux non protégés.
- Avec un PASSI de niveau Substantiel : Le prestataire traite les informations de l'audit sur un système d'information qui respecte les bonnes pratiques de sécurité classiques (niveau Standard du Guide d'Hygiène de l'ANSSI). Ce niveau est adapté pour les audits de systèmes d'information courants et non classifiés.
-
Un auditeur freelance ou un stagiaire peut-il être qualifié sous la bannière d'un prestataire PASSI ?
Non, cela n'est pas autorisé par le référentiel. L'exigence V.4.a du PASSI stipule explicitement que tous les auditeurs et responsables d'équipe participant à des missions qualifiées doivent être liés au prestataire par un contrat de travail direct (CDI ou CDD). Les profils en stage ne sont pas acceptés, et le recours à des sous-traitants indépendants (freelances) ne permet pas de valider la compétence du prestataire pour la portée de qualification demandée. -
Quel est le coût de la qualification PASSI ?
Le prix d'une évaluation de qualification PASSI n'est pas un forfait fixe, mais dépend directement de la charge de travail en jours-hommes estimée par le centre d'évaluation LSTI. Ce coût varie selon le niveau d'assurance choisi (Substantiel ou Élevé), le nombre de portées techniques à qualifier (parmi les 5 activités possibles), le nombre de sites géographiques du prestataire, ainsi que la complexité de son système d'information (technologies utilisées, architecture). Chaque projet fait l'objet d'une étude personnalisée du dossier de candidature pour ajuster précisément le devis. -
Quelles sont les réglementations officielles à maîtriser pour réussir l'examen PASSI (niveau élevé) ?
Le référentiel exige que les futurs auditeurs qualifiés possèdent une connaissance fine du cadre réglementaire de la sécurité nationale et européenne. Le programme officiel de l'examen couvre :
- La protection du secret de la défense nationale (IGI 1300) et des structures sensibles (II 901).
- La Loi de Programmation Militaire (LPM) et la sécurité des Opérateurs d'Importance Vitale (OIV).
- Les directives européennes sur la sécurité des réseaux (NIS 1 / NIS 2).
- Le Référentiel Général de Sécurité (RGS) et le Règlement Général sur la Protection des Données (RGPD).
- La protection des informations classifiées de l'OTAN (II 2100) et de l'Union Européenne (II 2102).
- La protection du secret de la défense nationale (IGI 1300) et des structures sensibles (II 901).
-
Quelles sont les modalités des examens écrits et oraux pour les auditeurs d'un PASSI niveau élevé ?
Le passage des examens est une exigence réservée exclusivement aux candidats au niveau de qualification Élevé.
- L'examen écrit valide la culture générale cyber et réglementaire.
- L'examen oral dure au minimum 15 minutes par activité technique candidatée et consacre 80 % de son temps à l'évaluation des compétences concrètes issues de l'Annexe 2 du référentiel. En cas de réussite, le centre d'évaluation délivre une Attestation Individuelle de Compétence valable 3 ans maximum.
- L'examen écrit valide la culture générale cyber et réglementaire.
En savoir plus
Pourquoi choisir LSTI ?

Expertise reconnue
Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.

Auditeurs spécialisés
Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.

Tiers indépendant et accompagnement dédié
Habilité par l’ANSSI, LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.




