Ligne directe 24/7 | Réponse à incidents
Nous contacter
Accueil Audit SSI Audit sous qualification PASSI

Audit sous qualification PASSI

Vos prestations d’audit réalisées par un prestataire qualifié PASSI ÉLEVÉ sur l’ensemble des portées !

Contacter nos équipes

Sécurisez vos systèmes d'information selon les exigences de l'État et de l'ANSSI

Un audit sous qualification PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) est une évaluation de la sécurité d’un système d’information réalisée par un prestataire en cybersécurité qualifié par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Il est important de noter qu’un audit sous qualification PASSI n’est pas un type d’audit, c’est une option disponible pour cinq portées d’audit de sécurité. Il est donc possible de réaliser ces audits sous qualification PASSI ou non.

Depuis 2021, nous sommes prestataire qualifié PASSI couvrant l’ensemble des portées définies par l’ANSSI, et qualifié PASSI au niveau élevé LPM depuis octobre 2025.

Les types d'audits couverts par la qualification PASSI

Les audits pouvant être réalisés sous qualification PASSI sont : 

 

 

Ces audits sont réalisés selon un référentiel précis et strict publié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), ils ont pour but de vérifier la conformité d’un système d’information aux différentes exigences en termes de sécurité.
La version courante du référentiel est 2.2.

Répondez aux obligations de sécurité de votre secteur
avec un audit PASSI

Une méthodologie d’audit certifiée au plus haut niveau de l’État

 

Garantissez un audit qui répond aux exigences imposées par l’ANSSI.

Un haut niveau de qualité 

 

Assurez-vous que la méthodologie d’audit soit conforme au référentiel de l’ANSSI, ainsi qu’à la norme ISO 19011, tant dans les travaux que pour les livrables fournis.

Une organisation en conformité 

 

Selon votre secteur d’activité (banque, assurance, Défense, santé…), le Système d’Information concerné ou le fait de fournir des services vitaux (OIV) ou essentiels (OSE), l’audit PASSI peut être obligatoire. Cela peut également concerner les organisations identifiées dans le cadre de la directive NIS2.

Différents niveaux d'audit sous qualification PASSI

On retrouve trois niveaux d’audit sous qualification PASSI.

Le niveau de qualification substantiel est le premier niveau de garantie sur la compétence du prestataire. Il permet de témoigner de la confiance que l’on peut lui accorder ainsi que de sa capacité à protéger les informations et supports relatifs à la prestation.

Dans quel cas faut-il se tourner vers le niveau substantiel ?

Une prestation de niveau substantiel est recommandée si les risques qui pèsent sur votre Système d’Information sont : 

  • Une menace isolée ;
  • Une menace activiste ;
  • Une menace systémique.

Ce type de menace est souvent dirigé contre une seule organisation, un individu ou un système, sans risque immédiat de propagation ou d’effet en cascade.

Exemple de menace :

  • Hacker ou groupe opportuniste ;
  • Script kiddies ;
  • Menace interne.

Le niveau de qualification élevé est le deuxième niveau de garantie. Par rapport au niveau substantiel, celui-ci offre une forte garantie de compétences, de confiance et de protection des informations.

Dans quel cas faut-il se tourner vers le niveau élevé ?

Une prestation de niveau élevé  est recommandée si le risque qui pèse sur votre Système d’Information est une menace stratégique.

Ce type de menaces vise à compromettre ou affaiblir durablement la sécurité, la souveraineté, ou les intérêts à long terme d’une organisation, d’un État ou d’un secteur critique.

Exemple de menace :

  • Groupe APT financé par un État / Menace étatique.

Le niveau de qualification PASSI-LPM est le niveau de garantie le plus élevé. Il garantit une expertise pointue et des processus adaptés aux Opérateurs d’Importance Vitale (OIV).

Dans quel cas faut-il se tourner vers le niveau élevé LPM ?

Une prestation de niveau élevé LPM doit être envisagée lorsque votre structure est désignée comme un OIV (opérateur d’importance vitale), notamment pour réaliser les contrôles des systèmes d’importance vitale (SIIV) ainsi que les audits des systèmes d’information concernant les informations et supports classifiés FR, UE et OTAN.

Les menaces concernées sont les mêmes que pour le niveau élevé, le niveau LPM est obligatoire si votre organisme est désigné comme étant un OIV.

Identifiez les menaces spécifiques à votre écosystème

On peut distinguer trois grands types de menaces pouvant cibler votre organisation.

Menace hacktiviste ou isolée

La menace hacktiviste ou isolée se caractérise par des attaques telles que le déni de service ou les  fuites de données. La menace isolée provient souvent d’individus dotés d’outils peu sophistiqués ou d’un accès privilégié dans un Système d’Information. Ce type de menace est mené par un individu isolé ou un groupe hacktiviste.

Menace systémique

La menace systémique est un type de menace pouvant affecter un nombre important d’organisations. On y retrouve notamment la menace cybercriminelle, qui se caractérise souvent par des attaques  à des fins lucratives. Les attaquants utilisent pour cela des rançongiciels ou des fraudes.

Ce type d’attaque est utilisé par des organisations ou des États avec des moyens relativement limités.

Menace stratégique

La menace stratégique est quant à elle caractérisée par des attaques ciblées et qui s’étalent sur la durée. Elle est orchestrée par un État et se distingue par l’ampleur des ressources techniques et organisationnelles déployées, ainsi que par une stratégie de discrétion. 

Les motivations de ces attaques sont notamment l’espionnage ou encore la déstabilisation.

La démarche d'un audit sous qualification PASSI

Convention de
service
Note de
cadrage
Plan
d'audit
Réunion
d'ouverture
(optionnelle)
Point de situation
journalier
(en PASSI élevé)
Débriefing à chaud
avec rapport(s)
unitaire(s)
(en PASSI élevé)
Débriefing
à chaud
Rapport
d'audit
Réunion
de clôture
(optionnelle)
Démarche d'un audit PASSI

Il est important de noter que la réunion d’ouverture, bien qu’optionnelle, est recommandée par nos experts.

Concernant les débriefings à chaud avec rapports unitaires, ceux-ci sont réalisés  dans le cas de découverte d’une vulnérabilité critique, quel que soit le niveau d’audit.

Qui peut réaliser des audits PASSI ?

Pour réaliser des audits sous qualification PASSI, il est nécessaire que le prestataire qui réalise l’audit ait obtenu la qualification PASSI délivrée par l’ANSSI.

Les organismes certifiés PASSI sont contrôlés tous les 18 mois par un organisme de qualification mandaté par l’ANSSI.

Pour les niveaux élevés et élevés-LPM, les auditeurs doivent passer sur chacune des 5 portées, un examen écrit et oral tous les 36 mois afin de confirmer leurs compétences.

Nos conseils pour préparer un audit PASSI

Pour bien préparer son audit sous qualification PASSI, il est important d’anticiper son besoin afin d’arbitrer entre les trois types de qualifications PASSI. 

En effet, en fonction du type de qualification et d’audit choisi, les délais avant le lancement de la mission peuvent varier, notamment en fonction du nombre de réunions et d’obligations.

Vous avez un projet d'audit ?
Pentest
Architecture
Configuration
Red Team
Social Engineering
Organisationnel et Physique
Code Source

Réponse à incident

Coordonnées du CERT

 

Mail : cert@synetis.com

Téléphone : 02 30 21 31 04

USER ID : CERT SYNETIS

KEY ID : 2F6F A FE30 7877

Empreinte clé PGP : 8D8ACAAC20557C7C1FF58332F6FA110FE307877

Le CERT Synetis est en cours de qualification PRIS (Prestataires de Réponse aux Incidents de Sécurité) par l’ANSSI

Contactez notre équipe Audit