Serma Safety & Security
Cabinet PASSI 5 portées, audits et pentests pour secteurs sensibles, certifié ISO 9001 et NVLAP.
SERMA Safety & Security est un acteur français en cybersécurité et sûreté de fonctionnement fondé en 2015, filiale du Groupe SERMA. Environ 240 collaborateurs répartis sur 9 sites en France. Qualifications PASSI RGS (5 portées), PASSI LPM, CESTI accrédité ANSSI. Expertise en audit, SOC, GRC, évaluation sécuritaire et sûreté logicielle critique pour systèmes d'information, embarqués, industriels et IoT. Plus de 100 clients actifs incluant 20 entreprises du CAC 40.
- Premier acteur qualifié PRIS Substantiel selon le nouveau référentiel ANSSI (2026)
- PASSI niveau élevé pour les besoins de la sécurité nationale couvrant les 5 portées (audit organisationnel et physique, architecture, configuration, code source, test d’intrusion)
- Laboratoire accrédité NVLAP (Lab code : 200977-0) et certifié FIPS 140-3, MIFARE, EMVCO, PCI
Qualifications ANSSI détenues
Prestataire d'Audit de la Sécurité des Systèmes d'Information
Audit de SI selon le référentiel PASSI (architecture, configuration, code source, tests d'intrusion, organisationnel et physique).
Portées PASSI couvertes
Le référentiel PASSI distingue 5 portées d'audit. Ce cabinet en couvre 5/5.
- Audit d'architecture
- Audit de configuration
- Audit de code
- Audit organisationnel et physique
- Test d'intrusion
Certifications complémentaires
Certifications mentionnées publiquement sur le site du cabinet.
Réseau et écosystème
Adhésions à des fédérations professionnelles cybersécurité françaises.
Secteurs d'intervention
Secteurs régulés NIS2 que ce prestataire mentionne servir (estimation depuis sources publiques).
Spécialités cyber
Technologies maîtrisées
Outils et plateformes cités sur le site du cabinet.
Actualité récente
- 2026·Certification
SERMA Safety and Security devient le premier acteur qualifié PRIS Substantiel selon le nouveau référentiel ANSSI.
Source ↗
« SERMA Safety and Security s’assure que vos systèmes assurent un haut niveau de sûreté de fonctionnement et sont à l’abri des cybermenaces. »
Présentation
SERMA Safety and Security développe depuis plus de 25 ans une expertise couvrant la sûreté de fonctionnement et la cybersécurité des systèmes IoT, embarqués, industriels et d'information. La société est une filiale du SERMA Group, plateforme indépendante d'expertise, conseil et test en technologies électroniques, systèmes embarqués et systèmes d'information. Selon Pappers, il s'agit d'une SAS au capital de 3 138 387 €, immatriculée au RCS de Bordeaux sous le numéro 812 203 479.
En 2023, la société comptait plus de 230 collaborateurs et réalisait un chiffre d'affaires de plus de 32 millions d'euros. Elle est présente sur neuf sites en France : Paris, Guyancourt, Bordeaux, Toulouse, Rennes, Angers, Aix-en-Provence, La Rochelle et Lyon.
Qualifications et accréditations ANSSI
SERMA Safety and Security détient la qualification PASSI RGS sur les cinq portées (tests d'intrusion, audit de configuration, audit d'architecture, audit organisationnel, audit de code source) depuis 2017 et PASSI LPM depuis 2024. Selon un communiqué de mars 2024, Xavier Morin, directeur général de Serma Safety and Security, a souligné l'obtention de la qualification PASSI LPM, qui permet à la société de réaliser des audits de cybersécurité sur les systèmes informatiques des Opérateurs d'Importance Vitale (OIV) définis dans le cadre de la Loi de Programmation Militaire.
La société héberge également un laboratoire d'évaluation de la sécurité (ITSEF) agréé par l'ANSSI, ainsi que la certification ISO 17025 (accréditation COFRAC 1-6098) pour son laboratoire CCTL (Common Criteria Testing Laboratory). Parmi ses accréditations figurent ITSEF, PASSI RGS, SESIP, FIPS et SBMP.
Offres et expertises
Le périmètre d'intervention couvre trois axes principaux : la cybersécurité (audit PASSI, GRC, SOC, intégration de solutions), la sûreté de fonctionnement (systèmes, matériel, logiciel), et le laboratoire d'évaluation de la sécurité, qui évalue plus de 200 produits de sécurité complexes par an.
Pour les systèmes industriels, la société propose des audits de conformité aux normes IEC 62443 et NIST SP800-82, ainsi que des analyses de risques cyber basées sur EBIOS Risk Manager. Un partenariat avec LCIE Bureau Veritas facilite la certification IEC 62443 pour les entreprises industrielles.
Sur les systèmes d'information, l'offre inclut la mise en place de PSSI (Plan de Sécurité des Systèmes d'Information), les mesures de GRC conformes à ISO 27002, et l'établissement de Plans de Continuité d'Activité (PCA).
Acquisition et fusion SafeRiver
En septembre 2023, SERMA Safety and Security a annoncé l'acquisition de SafeRiver, fondée en 2005 par Véronique Delebarre et comptant une quinzaine de collaborateurs, spécialisée dans le déploiement de méthodes formelles (model-checking, analyse statique de code). SafeRiver a développé SafeProver, un outil de model-checking certifié T2 pour le ferroviaire, et IFFREE, un logiciel d'évaluation de non-interférence entre modules logiciels.
Selon l'historique du groupe, la fusion de SERMA Safety and Security et SafeRiver est effective en 2026.
Veille et formation
La société publie un bulletin de sécurité mensuel produit par son équipe SOC. Le catalogue de formation 2026, dédié à la cybersécurité et à la sûreté de fonctionnement, propose 11 formations destinées aux professionnels des environnements critiques.
Sources de cette fiche
- https://www.serma-safety-security.com/en/presentation/security-safety-expert/
- https://www.serma.com
- https://www.serma-safety-security.com/en/presentation/serma-group/
- https://www.pappers.fr/entreprise/serma-safety-and-security-812203479
- https://magtih.com/wp-content/uploads/2024/03/SERMA.pdf
- https://www.serma-safety-security.com/en/cybersecurity/information-systems/
- https://www.solutions-numeriques.com/qualifie-passi-lpm-serma-safety-and-security-est-habilite-a-auditer-les-oiv/
- https://www.serma-safety-security.com/en/passi-lpm-qualification/
- https://www.serma-safety-security.com/en/serma-safety-and-security/quality/
- https://www.serma-safety-security.com/en/
- https://www.serma-safety-security.com/en/cybersecurity/industrial-systems/
- https://www.serma-safety-security.com/serma-safety-and-security-acquiert-saferiver-et-renforce-son-leadership-en-surete-de-fonctionnement-et-cybersecurite/
- https://www.serma-safety-security.com/en/formal-methods/
- https://www.serma.com/en/serma-group/
- https://www.serma-safety-security.com/bulletin-de-securite/
- https://www.serma-safety-security.com/en/our-2026-training-catalog-is-now-available/
Alternatives à Serma Safety & Security
Autres prestataires qualifiés ANSSI avec un profil proche (mêmes qualifications, mêmes secteurs servis, ou même région).
Questions fréquentes sur Serma Safety & Security
En quelle année Serma Safety & Security a-t-il été fondé ?
Serma Safety & Security a été fondé en 2015, soit 11 ans d'activité dans la cybersécurité, avec un siège à PESSAC. Catégorie INSEE : ETI.
Quelles qualifications ANSSI Serma Safety & Security détient-il ?
Serma Safety & Security est qualifié PASSI par l'ANSSI et couvre 5/5 portées PASSI (audit d'architecture, configuration, code, organisationnel, tests d'intrusion). Données issues du catalogue officiel cyber.gouv.fr.
Pour quels secteurs Serma Safety & Security intervient-il ?
Serma Safety & Security déclare intervenir pour les secteurs secteur-bancaire, energie, transports, sante, fabrication, administration-publique. Cible typique : Entreprises soumises à la directive NIS2, Acteurs industriels, Fabricants de systèmes embarqués et IoT, Organisations nécessitant une sûreté de fonctionnement pour des logiciels critiques.
Comment contacter Serma Safety & Security via nis2-pro.fr ?
Vous pouvez remplir le formulaire de mise en relation comparator en haut de cette fiche. Serma Safety & Security et 2 cabinets qualifiés ANSSI au profil similaire (mêmes qualifications, secteur, région) vous recontactent sous 48 h. La sélection des alternatives est faite par nis2-pro.fr — annuaire indépendant, aucun lien capitalistique avec les prestataires.
Comment contacter ce prestataire qualifié ANSSI ?
Deux options. Soit vous contactez le prestataire directement via son site officiel listé en haut de la fiche — la voie la plus rapide si vous savez déjà que c'est lui que vous voulez. Soit vous passez par le formulaire nis2-pro : votre demande est transmise à ce prestataire plus 2 cabinets qualifiés ANSSI au profil similaire (mêmes qualifications, secteur d'intervention, région), pour vous permettre de comparer 3 angles commerciaux avant de décider. La sélection des alternatives est faite par nis2-pro selon votre profil — pas par le prestataire de la fiche.
Comment vérifier que la qualification ANSSI de ce prestataire est toujours valide ?
Les qualifications ANSSI sont attribuées pour une durée limitée (généralement 3 ans pour PASSI, PRIS, PDIS) avec audit de surveillance tous les 18 mois. Le catalogue officiel sur cyber.gouv.fr/produits-services-qualifies liste en temps réel les prestataires dont la qualification est active, le périmètre exact (auditeur, code, architecture, configuration, intrusion pour PASSI), et la date d'expiration. nis2-pro synchronise ce catalogue mensuellement. Toute qualification retirée entre deux syncs apparaît sur le site officiel ANSSI en premier.
Quel est le délai pour démarrer une mission avec un prestataire qualifié ?
Compter typiquement 2 à 6 semaines entre premier contact et démarrage opérationnel : 1 semaine de qualification du besoin, 1 à 2 semaines de proposition commerciale et négociation, 1 à 2 semaines de contractualisation et mobilisation des auditeurs qualifiés. Pour une réponse à incident PRIS, les délais sont contractuels et courts (24-72h selon l'engagement signé). Pour les missions PASSI lourdes (audit d'architecture, tests d'intrusion sur SI critique), prévoir 4 à 8 semaines avant kickoff selon la disponibilité des auditeurs qualifiés.
Combien coûte une mission avec un prestataire qualifié ANSSI ?
Les TJM varient typiquement de 1 200 € HT (consultant junior) à 2 500 € HT (auditeur senior PASSI ou expert PRIS). Un audit PASSI complet (architecture + configuration + intrusion) sur un périmètre moyen coûte entre 30 et 80 k€ HT. Un audit de gap NIS2 ciblé sur les 10 mesures de l'article 21 : 15 à 40 k€ HT selon la taille. Une mission de RSSI externalisé : 4 à 8 k€ HT par mois. Les prestataires ne publient pas leurs grilles publiquement — demander un devis cadré sur votre périmètre exact.
Faut-il obligatoirement un prestataire qualifié ANSSI pour la mise en conformité NIS2 ?
Non, la directive NIS2 ne rend pas obligatoire le recours à un prestataire qualifié pour la mise en conformité elle-même. En revanche, pour certains audits réglementaires (OIV au titre de la LPM, opérateurs de services essentiels sur certains référentiels sectoriels), seuls les prestataires PASSI peuvent émettre des rapports opposables à l'ANSSI. Pour la conformité NIS2 standard (article 21, gouvernance, gestion des risques), un prestataire non qualifié peut intervenir — mais la qualification ANSSI reste un gage de compétence et un facilitateur en cas de contrôle ANSSI.
Inclus dans cet annuaire
Ce prestataire figure dans l'annuaire nis2-pro suite à sa présence dans les sources suivantes : catalogue ANSSI. Date d'ajout : 2026-04-01.
Sources d'enrichissement
- www.serma-safety-security.com/en ↗
- magtih.com/wp-content/uploads/2024/03/SERMA.pdf ↗
- fr.linkedin.com/company/serma-safety-and-security ↗
- www.societe.com/societe/serma-safety-and-security-812203479.html ↗
- Catalogue officiel ANSSI — qualification confirmée au cyber.gouv.fr
Dernière mise à jour : 12 mai 2026 · qualification ANSSI vérifiée, fiche enrichie via recherche web