Groupe Recrutement Espace Clients Contactez nous

Qu’est-ce que la qualification PASSI ?

Par Margarida Marques

Les systèmes d’information des entreprises ne cessent d’évoluer et de se transformer. Dans un monde interconnecté en permanence, toute organisation est confrontée à de nouvelles menaces en matière de cybersécurité.

Selon l’ANSSI, l’agence a traité 4 386 événements de sécurité en 2024, soit une hausse de 15 % par rapport à 2023. Ce contexte impose une vigilance renforcée et des moyens adaptés pour anticiper, détecter et réagir aux incidents de sécurité.

Pour affronter ce nouveau défi majeur, les entreprises doivent se protéger de manière adéquate et sécuriser leur système d’information. Pour vérifier leur performance, il est nécessaire de mener des audits de cybersécurité, mais également divers tests pour évaluer la résilience des systèmes.

Pour ce faire, choisir un prestataire certifié PASSI est recommandé car il offre des garanties de qualité, de sécurité et de compétence.

Le coût moyen d'une cyberattaque pour les entreprises est évalué à 15 640€ (Source : Hiscox 2023)
Le coût moyen d'une cyberattaque pour les entreprises est évalué à 15 640€ (Source : Hiscox 2023)
Sommaire

Qualification PASSI : de quoi parle-t-on ?

 

La qualification “Prestataires d’Audit de la Sécurité des Systèmes d’Information qualifiés”, dite PASSI, permet d’attester d’un organisme qu’il a les aptitudes et l’expertise nécessaire pour auditer la cybersécurité d’une entreprise, tout en garantissant la protection des données qui lui sont confiées dans le cadre de cet audit.

La rigueur de cette qualification s’illustre par le fait qu’à ce jour, seuls 78 prestataires sont qualifiés PASSI par l’ANSSI en France (Source : Catalogue officiel des produits et services qualifies agrées certifies). Cela reflète le niveau élevé d’exigence requis pour obtenir cette reconnaissance.

Ce certificat, mis en place par l’ANSSI, l’Agence Nationale pour la Sécurité des Systèmes d’Informations, repose sur un référentiel d’exigences composé d’un ensemble de règles à respecter pour les prestataires souhaitant obtenir cette qualification. Le référentiel d’exigence concerne à la fois le prestataire d’audit, son personnel ainsi que la méthodologie de ses audits.

La qualification PASSI est donc un gage de savoir-faire pour l’entreprise qui l’obtient et garantit ses compétences auprès de l’organisation auditée.

Qualification PASSI : pour quelles activités ?

 

La qualification PASSI couvre les 5 activités suivantes :

  • Audit d’architecture
  • Audit de configuration
  • Audit de code
  • Test d’intrusion
  • Audit organisationnel et physique

 

Audit d’architecture

L’audit d’architecture consiste à vérifier le respect des pratiques de sécurité des systèmes d’information de l’organisation. Il permet d’analyser les choix de positionnement, la mise en œuvre des dispositifs matériels et des logiciels déployés dans les systèmes d’informations. L’audit d’architecture peut s’étendre aux interconnexions avec des réseaux tiers, comme Internet par exemple.

 

Audit de configuration

L’audit de configuration s’intéresse, comme son nom l’indique, à la configuration des dispositifs matériels et des logiciels déployés au sein des systèmes d’information. Les protocoles de sécurité sont ainsi contrôlés pour déterminer s’ils sont conformes aux normes.

 

Audit de code source

L’audit de code source examine tout ou partie du code source d’un logiciel dans l’objectif d’en vérifier sa conformité. Lors de cet audit, il est possible que des vulnérabilités soient identifiées. Elles peuvent provenir de mauvaises pratiques de programmation ou d’erreurs dans le développement du logiciel.

 

Test d’intrusion

Le test d’intrusion est une technique bien spécifique visant à simuler des attaques dans les systèmes d’information et ainsi, d’en tester leur niveau de sécurité. Ils sont réalisés selon trois techniques (boite noire, grise ou blanche) en fonction des informations et des accès fournis à l’auditeur.

Cette méthode révèle des vulnérabilités critiques, souvent sous-estimées. En 2024, 96 % des projets de tests d’intrusion internes ont exposé des failles permettant un accès non autorisé au réseau interne : dans 63 % des cas, un attaquant peu expérimenté pouvait pénétrer le réseau depuis l’extérieur — preuve que les défenses sont encore trop souvent insuffisantes (Positive Technologies, Penetration Testing Results 2023‑2024).

 

Audit organisationnel et physique

Cet audit évalue le niveau de sécurité de la gouvernance, des politiques et procédures de sécurité mises en œuvre pour assurer le maintien en conditions de sécurité du système d’information. Par exemple, l’audit organisationnel et physique peut évaluer la protection du système d’information en examinant les systèmes de contrôle d’accès physique, de détection d’intrusions physiques ou encore de prévention des risques naturels (incendie, inondation, etc.).

À noter que chaque audit suit des étapes spécifiques devant être conformes aux réglementations de l’ANSSI afin d’en assurer leur bon déroulement. Une fois toutes les étapes terminées, un rapport d’audit est constitué et remis à l’entreprise auditée. Ce rapport doit notamment contenir les non-conformités ou risques identifiés ainsi que des recommandations à adopter pour améliorer la sécurité des systèmes d’information.

 

Pourquoi externaliser ses audits de cybersécurité ?

 

Externaliser ses audits de cybersécurité permet de recourir à un ensemble de moyens et de compétences dont les organisations ne disposent pas en interne. À ce titre, choisir un auditeur certifié PASSI, c’est avoir la garantie de conditions d’audits sécurisés et de la mise à disposition d’experts, nécessaires pour mener à bien l’audit.

L’un des autres avantages réside dans la neutralité de l’évaluation. Un audit mené par un prestataire externe qualifié permet d’identifier des vulnérabilités qui pourraient passer inaperçues en interne, notamment en raison d’une trop grande proximité ou d’une routine dans les pratiques.

Gage de qualité supplémentaire, l’ANSSI impose aux auditeurs certifiés PASSI une démarche d’amélioration continue pour maintenir leur niveau d’excellence.

Avec son niveau d’exigence élevé, la qualification PASSI est donc devenue une véritable référence pour la réalisation des audits de cybersécurité.

Grâce à la qualification PASSI obtenue depuis 2017 et renouvelée en 2023, notre filiale SysDream est la meilleure option pour la réalisation des audits de cybersécurité. SysDream se distingue par son expertise reconnue en cybersécurité associant une méthodologie rigoureuse et une équipe hautement qualifiée pour garantir des audits approfondis et fiables. https://sysdream.com/

Margarida Marques
Margarida Marques
Margarida est responsable marketing client chez Hub One. Curieuse par nature et même si tous les sujets l’intéressent, Margarida a tout de même une préférence pour la littérature réaliste anglaise de l’époque victorienne. Du roman social aux voyages en passant par son engagement en qualité de bénévole au Samu social, il n’y avait qu’un pas, qu’elle a franchi. Côté technologie, Margarida ne se sépare jamais de son enceinte Bluetooth sur laquelle elle écoute ses émissions en podcast ou sa musique à tue-tête. Mais tout cela se fait bien évidemment à partir de l’objet qu’elle ne quitte jamais, son précieux, son téléphone.
Pour garder une longueur d'avance, abonnez-vous

Besoin de plus d'informations

Articles récents

Delivery management system (DMS) : quels sont les 5 piliers de la performance dans le transport ?
3 juillet 2025
Delivery management system (DMS) : quels sont les 5 piliers de la performance dans le transport ?
Les paramètres web invisibles : un risque sous-estimé en cybersécurité
26 juin 2025
Les paramètres web invisibles : un risque sous-estimé en cybersécurité
Optimisation de tournées : challengez vos responsables camionnage
19 juin 2025
Optimisation de tournées : challengez vos responsables camionnage

Contactez-nous