En une phrase. PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) est la qualification délivrée sous l’autorité de l’ANSSI aux cabinets d’audit qui satisfont son référentiel d’exigences (compétence des auditeurs, méthodologie, protection des informations, éthique) sur cinq portées — audit d’architecture, de configuration, de code source, test d’intrusion et audit organisationnel et physique ; le recours à un PASSI est obligatoire ou attendu pour les OIV, les homologations RGS et les qualifications type SecNumCloud, avec des tarifs constatés de 800 à 1 500 € HT par jour-auditeur.
Le marché français de l’audit de sécurité est saturé d’offres inégales. La qualification PASSI est le mécanisme d’assainissement voulu par l’État : un référentiel exigeant, des audits de qualification, une liste publique. Environ cinquante prestataires sont qualifiés, listés sur le site de l’ANSSI (cyber.gouv.fr).
Ce guide répond aux trois questions que se posent RSSI et directions : quand un PASSI est-il obligatoire, combien ça coûte, et comment se déroule la mission.
Points clés
- 5 portées d’audit : architecture, configuration, code source, test d’intrusion, organisationnel et physique.
- Qualification fondée sur le référentiel d’exigences PASSI de l’ANSSI, dans le cadre du décret n° 2015-350 du 27 mars 2015 et du RGS.
- Obligatoire ou de facto requis pour : contrôles des OIV (LPM), audits d’homologation RGS, qualifications SecNumCloud, et de plus en plus de contrôles NIS2.
- Coût : 800 à 1 500 € HT/jour-auditeur ; un test d’intrusion type 5-15 jours, un audit complet multi-portées 30-80 k€.
- Une variante PASSI LPM existe pour auditer les systèmes d’information d’importance vitale.
1. Ce qu’est (et n’est pas) la qualification PASSI
La qualification atteste que le prestataire — pas le système audité — respecte le référentiel ANSSI : auditeurs évalués individuellement, méthodologie d’audit documentée, protection des livrables (les rapports d’audit sont des données ultra-sensibles), locaux et SI du prestataire sécurisés, assurance, charte d’éthique. La qualification est prononcée pour 3 ans après évaluation par un organisme accrédité, sous le contrôle de l’ANSSI.
Les cinq portées :
- Audit d’architecture : revue de la conception (cloisonnement, flux, exposition) sur documents et entretiens.
- Audit de configuration : vérification des durcissements (OS, équipements réseau, bases, middleware) par rapport aux référentiels.
- Audit de code source : revue de sécurité du code applicatif.
- Test d’intrusion : attaque contrôlée en boîte noire, grise ou blanche.
- Audit organisationnel et physique : gouvernance, procédures, conformité à la PSSI, sécurité physique.
Un prestataire peut être qualifié sur tout ou partie des portées — vérifiez la portée exacte sur l’attestation, pas seulement le logo.
2. Quand un PASSI est-il obligatoire ?
Cas d’obligation directe
- OIV (LPM) : les contrôles des systèmes d’information d’importance vitale ordonnés au titre de l’article L.1332-6-3 du code de la défense sont réalisés par l’ANSSI ou par des prestataires qualifiés — en pratique des PASSI LPM. Voir notre guide LPM et OIV.
- Qualifications ANSSI : les audits menés dans le cadre des qualifications de services (SecNumCloud notamment) sont conduits par des PASSI — voir la qualification SecNumCloud.
Cas d’exigence de fait
- Homologation RGS : le RGS impose un audit avant homologation des téléservices ; le recours à un PASSI n’est pas toujours juridiquement imposé, mais c’est le standard attendu, et beaucoup d’appels d’offres publics l’exigent expressément.
- NIS2 : la loi de transposition et ses textes d’application organisent les contrôles des entités essentielles et importantes ; l’ANSSI s’appuiera sur des prestataires qualifiés pour absorber la volumétrie.
- Secteur financier : pour les tests d’intrusion avancés pilotés par la menace (TLPT) sous DORA, les exigences de compétence et d’indépendance des testeurs orientent naturellement vers les acteurs qualifiés.
- Assurance cyber et grands donneurs d’ordre : la mention « audit PASSI » devient une clause contractuelle courante.
Pour un audit RGPD en revanche — conformité des traitements, registre, bases légales — le PASSI n’est pas le bon outil : voyez notre méthodologie d’audit RGPD, complémentaire de l’audit technique.
3. Combien coûte un audit PASSI ?
Tarifs constatés sur le marché français (jour-auditeur HT) : 800 à 1 500 €, selon la portée (le code source et l’architecture coûtent plus cher que la configuration), la sensibilité du contexte et la rareté (les PASSI LPM sont moins nombreux).
| Mission type | Volume | Budget indicatif HT |
|---|---|---|
| Test d’intrusion externe (périmètre web) | 5-10 jours | 6 000 – 15 000 € |
| Test d’intrusion interne + externe | 10-20 jours | 12 000 – 30 000 € |
| Audit de configuration (20-50 serveurs) | 8-15 jours | 10 000 – 22 000 € |
| Audit multi-portées pour homologation | 20-40 jours | 25 000 – 60 000 € |
| Audit complet OIV/SIIV | 40-80 jours | 50 000 – 120 000 € |
Ajouter le temps interne de préparation (périmétrage, comptes de test, fenêtre de tir) et surtout le coût de la remédiation, systématiquement sous-budgété : un audit qui révèle 40 vulnérabilités sans budget de correction ne produit qu’un document dangereux.
4. Déroulement d’une mission
- Cadrage et convention d’audit : périmètre, portées, prérequis, fenêtres d’intervention, règles d’engagement (le référentiel PASSI impose une convention écrite — c’est aussi votre protection juridique).
- Exécution : tests et entretiens, avec point d’étape en cas de découverte critique (vulnérabilité activement exploitable : information immédiate, pas au rapport final).
- Rapport : synthèse managériale, constats cotés (gravité/exploitabilité), preuves, recommandations priorisées. Le rapport PASSI suit un formalisme qui le rend directement exploitable dans un dossier d’homologation.
- Restitution : présentation contradictoire aux équipes techniques et à la direction.
- Contre-audit éventuel après remédiation.
Les constats d’audit alimentent le plan de traitement des risques, le dossier d’homologation, la déclaration d’applicabilité ISO 27001 et la documentation de conformité à l’article 32 du RGPD (sécurité des traitements). Plutôt que de laisser ces livrables se périmer dans un partage de fichiers, une plateforme comme Legiscope permet de rattacher constats et plans d’action à la cartographie des systèmes et des traitements, et d’en suivre l’exécution dans la durée.
FAQ
Un test d’intrusion doit-il obligatoirement être fait par un PASSI ?
Non, sauf contexte réglementé (OIV, qualification ANSSI, exigence contractuelle ou d’appel d’offres). Pour un pentest « libre », la qualification reste un signal de qualité fort : auditeurs évalués, méthodologie contrôlée, protection des rapports.
Combien y a-t-il de prestataires PASSI en France ?
De l’ordre d’une cinquantaine de sociétés qualifiées, dont une partie seulement sur les cinq portées, et un sous-ensemble plus restreint qualifié PASSI LPM. La liste à jour est publiée par l’ANSSI sur cyber.gouv.fr — vérifiez toujours la validité et la portée de la qualification.
Quelle différence entre un audit PASSI et un audit ISO 27001 ?
L’audit PASSI évalue techniquement un système (vulnérabilités, configurations, architecture) ; l’audit de certification ISO 27001 évalue un système de management. Le premier vous dit si l’on peut vous attaquer, le second si votre organisation gère la sécurité. Les deux sont complémentaires, pas substituables.
À quelle fréquence faut-il auditer ?
Les référentiels convergent vers un cycle : audit complet à chaque homologation (3 ans maximum), tests d’intrusion annuels sur les systèmes exposés, et audit après tout changement majeur d’architecture. NIS2 et DORA imposent en outre des programmes de tests réguliers documentés.
Conclusion
La qualification PASSI a fait ce que le marché seul ne faisait pas : créer un standard vérifiable de qualité d’audit. Pour les organisations régulées — OIV, administrations, entités NIS2, secteur financier — le PASSI est ou devient la norme de fait. Le bon usage : des audits ciblés et récurrents plutôt qu’un grand audit tous les cinq ans, un budget de remédiation au moins égal au budget d’audit, et des constats intégrés à votre gestion des risques plutôt qu’archivés.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial