Qualification ANSSI ~40 cabinets qualifiés 5 portées d'audit Mis à jour · Avril 2026

PASSI

Signification : Prestataires d'Audit de la Sécurité des Systèmes d'Information
Réponse rapide

Qualification délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) aux cabinets d’audit et de pentest français. Créée en 2014, elle atteste qu’un prestataire répond à des exigences strictes de compétences, de méthodologie et de confidentialité pour réaliser des audits de sécurité.

En une phrase — PASSI est la qualification délivrée par l'ANSSI aux cabinets d'audit et de pentest français. Créée en 2014, elle couvre 5 portées d'audit et concerne ~40 cabinets en France. Quasi-obligatoire pour les OIV, les marchés publics sensibles et les certifications ANSSI.
Création
2014 par l'ANSSI
Référentiel
Référentiel PASSI publié par l'ANSSI sur cyber.gouv.fr
Nombre de qualifiés
~40 cabinets en France en 2026
Durée de validité
3 ans renouvelable
Portées
5 (architecture, configuration, code, intrusion, organisationnel)
Variante renforcée
PASSI LPM pour les OIV soumis à la Loi de Programmation Militaire

01 — DéfinitionQu'est-ce que PASSI ?

Source officielle : page PASSI (ANSSI).

PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) est une qualification délivrée par l'ANSSI aux cabinets d'audit et de pentest français.

L'objectif de la qualification

Fournir aux organisations (État, collectivités, OIV, entreprises) un label de confiance garantissant qu'un prestataire répond à des exigences strictes pour réaliser des audits de sécurité :

  • Compétences techniques des auditeurs : certifications (OSCP, CRTO, CEH, etc.), expérience, formation continue.
  • Méthodologies rigoureuses : procédures documentées, traçabilité, reproductibilité.
  • Contrôle qualité : relecture des livrables, validation par pairs.
  • Gestion de la confidentialité : protection des informations clients, stockage sécurisé des preuves, clauses d'engagement.
  • Indépendance : pas de conflit d'intérêt entre audit et conseil ou intégration.
  • Protection juridique et assurantielle : cadre contractuel cadré, assurance responsabilité civile.

Histoire

  • 2009 : création de l'ANSSI, premières réflexions sur une qualification des auditeurs.
  • 2012-2013 : développement du référentiel avec concertation des acteurs du marché.
  • 2014 : publication du référentiel PASSI et début des premières qualifications.
  • 2016-2018 : développement de la variante PASSI LPM pour les OIV.
  • 2020-2026 : ~40 cabinets qualifiés, le label s'impose dans les marchés publics et pour les homologations.

Le cadre juridique

La qualification PASSI s'inscrit dans le cadre du décret 2010-112 du 2 février 2010 pris en application de la LCEN (Loi pour la Confiance dans l'Économie Numérique), qui prévoit que l'ANSSI peut qualifier les prestataires de confiance. Le référentiel PASSI est un document public régulièrement mis à jour.

PASSI vs PASSI LPM

  • PASSI standard : qualification générale, valable pour la majorité des audits.
  • PASSI LPM : variante renforcée pour les audits des OIV soumis à la Loi de Programmation Militaire (article 22). Exigences supplémentaires : habilitations des auditeurs (Secret Défense), processus renforcés, confidentialité accrue. Nombre de cabinets plus restreint (~20).

Où trouver la liste officielle

La liste officielle des prestataires qualifiés est publiée et maintenue par l'ANSSI sur cyber.gouv.fr dans l'annuaire des prestataires qualifiés. Pour chaque cabinet, sont indiquées : les portées qualifiées, la date de qualification, la date de fin de validité.

PASSI est pour les auditeurs ce que SecNumCloud est pour les hébergeurs : un label de confiance construit sur mesure pour le contexte français et souverain. Sans être formellement obligatoire partout, il s'est imposé comme la référence implicite dans tous les marchés publics sensibles et les contextes OIV.

02 — PortéesLes 5 types d'audit

La qualification PASSI couvre 5 portées distinctes. Un cabinet peut être qualifié sur une, plusieurs ou toutes les portées selon ses compétences.

Portée 1 — Audit d'architecture

Examen de la conception d'une infrastructure ou d'un système.

  • Revue des schémas d'architecture réseau et applicative.
  • Analyse des flux (qui parle à qui, comment).
  • Vérification de la segmentation.
  • Contrôle des choix technologiques (composants retenus, leurs limitations).
  • Évaluation des mécanismes de sécurité en place (défense en profondeur).
  • Adéquation entre l'architecture et les besoins de sécurité.

Livrables typiques : rapport d'analyse avec schémas, points de vigilance, recommandations. Méthode principalement documentaire et par entretiens.

Portée 2 — Audit de configuration

Vérification de la configuration effective des composants.

  • Analyse des configurations systèmes (OS, applications).
  • Vérification des équipements réseau (firewalls, switches, routeurs).
  • Revue des bases de données (droits, paramètres de sécurité).
  • Hardening : écart avec les référentiels de bonnes pratiques (CIS Benchmarks, guides ANSSI).
  • Gestion des comptes et droits.
  • Patch management.

Méthode : accès en consultation aux systèmes, scripts d'extraction, outils de comparaison. Pas d'exploitation active des failles.

Portée 3 — Audit de code source

Analyse du code applicatif pour identifier les vulnérabilités.

  • Analyse statique (SAST) avec outils (SonarQube, Checkmarx, Semgrep, CodeQL).
  • Revue manuelle ciblée sur les fonctions sensibles (auth, crypto, gestion de session).
  • Recherche de patterns dangereux : injections, XSS, désérialisation, secrets en dur.
  • Analyse des dépendances (SCA — Software Composition Analysis).
  • Vérification de la conformité aux bonnes pratiques OWASP, CERT Secure Coding.

Nécessite accès au code source. Complémentaire des tests d'intrusion — permet de trouver des failles que le pentest ne verrait pas.

Portée 4 — Test d'intrusion (pentest)

Simulation d'attaque pour identifier et exploiter activement les vulnérabilités.

  • Boîte noire : sans information, comme un attaquant externe.
  • Boîte grise : avec quelques informations (compte standard, documentation partielle).
  • Boîte blanche : accès complet (compte admin, code, architecture).

Cibles : applications web, APIs, applications mobiles, infrastructures externes et internes, Wi-Fi, IoT, ICS. Méthodologies : OWASP Testing Guide, PTES (Penetration Testing Execution Standard), NIST SP 800-115, OSSTMM. Outils : Burp Suite, Nmap, Metasploit, Nuclei, Empire, Impacket, BloodHound, etc.

Voir notre fiche Pentester.

Portée 5 — Audit organisationnel et physique

Évaluation des aspects non techniques de la sécurité.

  • Politiques de sécurité (PSSI), procédures, charte.
  • Gouvernance SSI, gestion des risques (EBIOS RM).
  • Gestion des habilitations et contrôle d'accès logique.
  • Sensibilisation et formation des utilisateurs.
  • Sécurité physique des locaux (zones sensibles, contrôle d'accès physique, vidéosurveillance).
  • Continuité d'activité : PRA / PCA.
  • Gestion des incidents.
  • Conformité réglementaire.

Méthode : revue documentaire, entretiens, visites sur site, observations, tests de sensibilisation.

Audit combiné

Un audit sérieux combine généralement plusieurs portées : par exemple architecture + configuration + pentest pour une vue complète, ou code + pentest + organisationnel pour une application critique. Les cabinets qualifiés sur plusieurs portées sont privilégiés pour ces missions intégrées.

03 — QualificationComment un cabinet devient PASSI

Le processus général

  1. Préparation interne : mise en conformité avec le référentiel PASSI (documentation, procédures, preuves).
  2. Demande de qualification auprès de l'ANSSI.
  3. Audit d'évaluation par l'ANSSI ou un organisme accrédité mandaté : audit documentaire, audit sur site, audit d'une mission réelle (observation des auditeurs).
  4. Décision de qualification par l'ANSSI.
  5. Publication dans l'annuaire officiel.
  6. Surveillance périodique pendant la durée de validité.
  7. Renouvellement tous les 3 ans avec nouvel audit.

Exigences principales

Exigences sur l'entreprise

  • Statut juridique : société française ou européenne, certains cas OIV exigent capital français.
  • Assurance responsabilité civile adaptée à l'activité d'audit.
  • Indépendance : séparation organisationnelle entre audit et autres activités commerciales (conseil, intégration) chez les grands groupes.
  • Système de management de la qualité : procédures documentées, traçabilité, contrôle qualité.
  • Protection des informations : locaux sécurisés, SI interne durci, chiffrement des livrables et preuves.

Exigences sur les auditeurs

  • Formation : Bac+5 informatique/sécurité ou expérience équivalente.
  • Certifications reconnues : OSCP, CRTO, CEH, GPEN, CISSP, CISM, ISO 27001 Lead Auditor selon portée.
  • Expérience : ancienneté variable selon portée (souvent 2-5 ans en sécurité).
  • Formation continue : maintien des compétences documenté.
  • Habilitations (PASSI LPM) : Secret Défense pour les auditeurs intervenant sur OIV.

Exigences méthodologiques

  • Méthodologies documentées par portée.
  • Modèles de livrables standardisés.
  • Traçabilité complète : outils utilisés, horaires, résultats.
  • Gestion des preuves : capture, stockage sécurisé, destruction à terme.
  • Contrat et conditions générales cadrés, clauses de confidentialité renforcées.

Coût et durée

L'obtention de la qualification représente un investissement significatif pour un cabinet :

  • Préparation interne : 6-18 mois de travail.
  • Coût interne : formation des auditeurs, mise en place des procédures, outillage. Plusieurs dizaines à centaines de k€ pour un cabinet moyen.
  • Coût d'audit : tarifs ANSSI ou de l'organisme évaluateur, plusieurs dizaines de k€.
  • Renouvellement tous les 3 ans : coûts récurrents.

C'est une raison pour laquelle ~40 cabinets sont qualifiés et non davantage : l'investissement est significatif, il faut un volume d'affaires justifiant la démarche.

Surveillance et retrait

Pendant la période de validité, l'ANSSI peut :

  • Demander des audits ponctuels si doute.
  • Traiter des plaintes clients.
  • Retirer la qualification en cas de manquement grave.
  • Ne pas renouveler si les exigences ne sont plus satisfaites.

Des retraits ou non-renouvellements ont lieu occasionnellement — la qualification est vivante, pas un « coup unique ».

04 — QuandLes contextes de recours

Obligatoire

OIV soumis à la LPM

Les ~250 Opérateurs d'Importance Vitale répartis dans 12 secteurs critiques (énergie, santé, transports, finance, alimentation, gestion de l'eau, communications électroniques, industrie, espace et recherche, activités judiciaires, activités civiles de l'État, activités militaires de l'État) sont soumis à la Loi de Programmation Militaire (article 22 LPM 2013, renforcé ensuite).

Leurs SIIV (Systèmes d'Information d'Importance Vitale) doivent faire l'objet d'audits de sécurité périodiques par des prestataires qualifiés PASSI LPM.

Homologation de systèmes de l'État

Les systèmes traitant d'informations classifiées, diffusion restreinte, ou sensibles nécessitent une homologation appuyée par des audits PASSI (architecture, pentest selon cas).

Qualifications ANSSI de produits/services

  • CSPN : Certification de Sécurité de Premier Niveau pour produits de sécurité. Audits réalisés par des PASSI (code + pentest typiquement).
  • Critères Communs : niveau de certification international, audits plus lourds mais incluant des PASSI.
  • SecNumCloud : qualification cloud ANSSI, implique des audits PASSI des hébergeurs.
  • HDS (Hébergement de Données de Santé) : certification adossée à ISO 27001 avec audits complémentaires.

Fortement recommandé / pratique de marché

Marchés publics sensibles

Nombreux appels d'offres publics exigent PASSI explicitement dans leurs cahiers des charges. Ministères, collectivités, établissements publics, institutions.

NIS2 — entités essentielles et importantes

La directive NIS2 et sa transposition française demandent aux entités essentielles/importantes une gestion structurée des risques cyber et des audits. PASSI n'est pas formellement exigé mais c'est la référence française naturelle pour démontrer la qualité des audits.

Secteurs critiques réglementés

  • Banques et institutions financières : exigences ACPR, articulation avec DORA.
  • Santé : opérateurs d'importance en santé, établissements hospitaliers.
  • Énergie, transports, eau, télécoms : secteurs NIS2 essentiels.
  • Défense : écosystème des industries de défense.

Non obligatoire mais judicieux

Entreprises privées standards

Pour une PME ou une ETI sans contraintes réglementaires spécifiques, PASSI n'est pas obligatoire. Un cabinet non qualifié mais compétent peut faire un excellent audit à coût potentiellement moindre. Certains « petits » cabinets experts (souvent spin-offs de red team d'élite) ne sont pas PASSI par choix — fonctionnent sur réputation.

Critères de choix PASSI ou non

  • Besoin de reconnaissance officielle : assurances, conseil d'administration, partenaires → PASSI.
  • Conformité réglementaire : NIS2, sectorielle → PASSI recommandé.
  • Recherche de compétences rares (reverse engineering, red team avancé) : parfois des cabinets non-PASSI sont plus pertinents.
  • Budget : les PASSI sont généralement plus chers (barrière d'entrée du label).
  • Contrainte contractuelle : votre client ou donneur d'ordre impose PASSI.

05 — PrestatairesPanorama du marché français

~40 cabinets qualifiés PASSI en France en 2026. Liste non exhaustive des acteurs par catégorie.

Cabinets techniques spécialisés

  • Synacktiv (Paris, Lyon) : référence française en offensive, victoires répétées au Pwn2Own, recherche de vulnérabilités, red team. Très orienté technique.
  • Lexfo (Paris) : recherche offensive, audits techniques, reverse engineering.
  • Quarkslab (Paris, Rennes) : reverse engineering, cryptographie, audits de produits.
  • Amossys (Rennes) : audit et conseil SSI, proximité défense/souveraineté.
  • XMCO (Paris) : pentest, CERT, threat intelligence.
  • Digital Security (Paris) : audits, conseil, CERT.
  • Intrinsec (Issy-les-Moulineaux) : filiale Neverhack, pentest et SOC.
  • Oppida : pentest et audit.
  • Almond : audit, conseil, SOC.

Grandes ESN avec pôles cyber

  • Orange Cyberdefense : intégrateur cyber majeur européen, pôle audit PASSI, filiale d'Orange.
  • Thales Cyber Solutions : focus défense/souveraineté, contexte OIV.
  • Atos/Eviden : pôle cyber important avec activité audit.
  • Capgemini Cybersecurity / Sogeti : pôle cyber au sein du groupe.
  • Sopra Steria Cybersecurity : audits et intégration.
  • Airbus CyberSecurity : filiale cyber d'Airbus.

Cabinets de conseil avec pratique cyber

  • Wavestone : grand cabinet de conseil avec forte pratique cyber.
  • Advens : cyber pur-player français (PACS + PASSI + PRIS + PDIS).
  • Devoteam : conseil et intégration IT avec pôle sécurité.
  • Deloitte, EY, KPMG, PwC : Big Four avec pratiques cyber qualifiées.

Spécialistes sectoriels

  • Pradeo : spécialiste mobile.
  • I-Tracing : SOC et audit.
  • DFI Security : audits ciblés.
  • HTTPCS, Nowteam, Conscio Technologies : plus petits acteurs régionaux ou spécialisés.

Comment choisir son PASSI

  • Portées couvertes : vérifier que le cabinet est qualifié sur la portée dont vous avez besoin.
  • Spécialisation sectorielle : santé, banque, défense, industrie — certains cabinets ont plus d'expérience sur un secteur.
  • Taille des missions : cabinets petits (5-50 personnes) pour agilité, grandes ESN pour missions complexes multi-pays.
  • Références : demander des références sur des missions similaires.
  • Auditeurs : CV des personnes effectivement sur la mission, pas juste la présentation commerciale.
  • Méthodologie proposée : précision du périmètre, des livrables, du calendrier.
  • Tarifs : 1000-2000€ HT/jour typique selon niveau, projet moyen 20-200 k€.
  • PASSI LPM si OIV : obligatoire pour les SIIV.

Mise à jour de la liste

La liste évolue régulièrement : nouvelles qualifications, renouvellements, non-renouvellements, retraits ponctuels. Toujours consulter la liste officielle sur cyber.gouv.fr avant de sélectionner un prestataire. Ne pas se baser uniquement sur la communication commerciale des cabinets.

06 — ÉcosystèmeLes autres qualifications ANSSI

PASSI est une des qualifications de l'écosystème de confiance français piloté par l'ANSSI. Ensemble, ces qualifications couvrent différents métiers de la cyber.

PACS — Accompagnement et Conseil SSI

  • Conseil en gouvernance, stratégie SSI, méthodologie EBIOS RM, PSSI, PCA/PRA.
  • Pas d'audit technique — complémentaire de PASSI.
  • Qualifiés : environ 30-40 cabinets.
  • Exemples : grands cabinets de conseil, ESN, spécialistes (Wavestone, Orange Cyberdefense, Advens, Devoteam, Atos, etc.).

PRIS — Réponse aux Incidents de Sécurité

  • Prestataires spécialisés en gestion d'incidents cyber.
  • Interviennent post-incident : investigation forensic, reprise en main, communication.
  • Qualification très exigeante — les incidents impliquent souvent des informations hautement sensibles.
  • ~20 prestataires qualifiés.
  • Exemples : Lexfo, Synacktiv, Orange Cyberdefense, Wavestone, Advens, Atos, Airbus CyberSecurity, Intrinsec, Thales.

PDIS — Détection des Incidents de Sécurité

  • Prestataires SOC managés et services de détection.
  • Compétences SIEM, monitoring, threat intel.
  • Qualification récente en expansion.
  • ~15-25 prestataires qualifiés.
  • Exemples : Orange Cyberdefense, Atos, Advens, Intrinsec, Sogeti, Devoteam, I-Tracing.

SecNumCloud — hébergement cloud

  • Qualification des hébergeurs cloud français.
  • Exigences sur la souveraineté, la localisation des données, l'équipe, la technique.
  • Qualifiés : OVHcloud, Outscale, Oodrive, Cloud Temple, Oxyl, Scaleway (partiellement), etc.
  • Voir notre fiche SecNumCloud.

HDS — Hébergement de Données de Santé

  • Certification pour hébergeurs manipulant des données de santé.
  • Adossée à ISO 27001 + exigences spécifiques.
  • Voir notre fiche HDS.

Certifications de produits

  • CSPN : Certification de Sécurité de Premier Niveau — produits testés par PASSI sur 2 mois.
  • Critères Communs (CC) : certification internationale (ISO 15408), niveaux EAL1-EAL7.

Cumul chez un même prestataire

Beaucoup de grands cabinets cumulent plusieurs qualifications. Exemples de cabinets qualifiés sur multiples volets :

  • Orange Cyberdefense : PASSI, PACS, PRIS, PDIS.
  • Atos/Eviden : PASSI, PACS, PRIS, PDIS, SecNumCloud (partenariat).
  • Advens : PASSI, PACS, PRIS, PDIS.
  • Thales Cyber Solutions : PASSI, PASSI LPM, PRIS.
  • Wavestone : PASSI, PACS.

07 — FAQQuestions fréquentes

Combien coûte un audit PASSI ?

Très variable selon portée, périmètre et complexité. Ordres de grandeur typiques : audit d'architecture simple (projet ciblé) : 15-40 k€. Audit de configuration d'un parc moyen : 20-60 k€. Audit de code d'une application moyenne : 20-80 k€ selon volume de code. Pentest externe (application web standard) : 15-40 k€. Pentest interne avec compromission assumée : 30-80 k€. Red team complet : 100-300+ k€. Audit organisationnel : 20-60 k€. Tarif journalier : 1000-2000€ HT/jour typique selon séniorité. Facteurs de variation : taille du périmètre, nombre d'applications, criticité, sensibilité (PASSI LPM coûte plus cher), délais serrés, reprise post-incident.

Un cabinet étranger peut-il être PASSI ?

Oui si la société est établie en UE et respecte le référentiel. En pratique, la grande majorité des PASSI sont français ou ont une filiale française. Pour PASSI LPM, les exigences de souveraineté et d'habilitations rendent quasi-obligatoire une structure juridique française avec personnels français habilités. Les très grands groupes internationaux (Deloitte, EY, KPMG, PwC) obtiennent PASSI via leur entité française avec équipes dédiées.

Un audit PASSI détecte-t-il toutes les failles ?

Non, aucun audit ne peut prétendre l'exhaustivité. Un audit est une photo à un instant T avec des contraintes de temps et de périmètre. Limitations inhérentes : temps limité (rarement plus de quelques semaines), périmètre défini (on teste ce qui est dans le scope, pas ce qui est autour), méthodologies documentées (peut manquer des failles nouvelles ou inhabituelles), environnement d'audit (souvent recette, pas prod exactement), biais de l'auditeur (chacun a ses forces). L'audit PASSI garantit un niveau minimum de rigueur et un cadre méthodologique reconnu, pas l'absence de faille. Stratégie mature : combiner audits PASSI réguliers, bug bounty continu, red team avancé, SAST/DAST automatisé, monitoring runtime.

Comment vérifier qu'un cabinet est vraiment PASSI ?

Toujours consulter l'annuaire officiel ANSSI sur cyber.gouv.fr dans la section « Prestataires qualifiés ». Pour chaque cabinet, sont indiquées les portées qualifiées, la date de qualification, la validité. Ne jamais se baser uniquement sur la communication du cabinet (logos, brochures). Certains cabinets communiquent sur « en cours de qualification » — à prendre avec prudence, la qualification n'est délivrée qu'à la fin du processus et il peut y avoir des refus. Demander le certificat officiel ou le contact ANSSI en cas de doute. Certaines qualifications sont suspendues ou retirées — l'annuaire est la source de vérité.

Peut-on être auditeur freelance avec qualification PASSI ?

Non, la qualification PASSI est délivrée à un cabinet, pas à un individu. Un auditeur freelance ne peut pas être PASSI en tant que tel. Deux options pour un freelance : travailler en sous-traitance pour un cabinet PASSI (sous leur qualification et leur responsabilité), ou créer une société et faire qualifier le cabinet — lourd mais faisable pour une petite équipe (demande volume d'affaires et infrastructure minimale). Les auditeurs individuels peuvent néanmoins avoir des certifications individuelles reconnues (OSCP, CRTO, CEH, etc.) qui valident leurs compétences techniques.

PASSI couvre-t-il les audits cloud et IA ?

Oui en principe, avec quelques nuances. Cloud : les portées PASSI s'appliquent aux environnements cloud (audit d'architecture AWS/Azure/GCP, audit de configuration, pentest). L'ANSSI et les PASSI ont développé des compétences cloud au fur et à mesure. Pour les audits d'hébergeurs cloud eux-mêmes (à certifier SecNumCloud), ce sont des audits PASSI ciblés avec exigences renforcées. IA et LLM : domaine émergent. PASSI ne spécifie pas de méthodologie dédiée IA pour l'instant, mais les cabinets qualifiés développent leurs propres approches (tests de prompt injection, évaluations adversariales, red team LLM). L'ANSSI a publié en 2024-2025 des guides sur la sécurité de l'IA qui pourraient alimenter l'évolution du référentiel.