Qualification ANSSI
PASSI : Prestataire d'Audit de la Sécurité des Systèmes d'Information
Le PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) est une qualification établie dans le cadre du Référentiel Général de Sécurité (RGS) de l'ANSSI. Elle permet d'identifier les prestataires de confiance capables de réaliser des audits de cybersécurité sensibles dans des conditions strictes de rigueur, d'impartialité et de confidentialité. La qualification d'un prestataire apporte aux bénéficiaires des garanties sur l'impartialité et la compétence du prestataire, la confiance que l'on peut lui accorder et sa capacité à protéger les informations et supports relatifs à la prestation.
Périmètre et modalités de la qualification
La qualification PASSI couvre cinq domaines d'audit distincts : audit organisationnel et physique, audit d'architecture, audit de configuration, tests d'intrusion et audit de code source. Le prestataire peut choisir les activités qu'il souhaite voir qualifier. Trois niveaux de qualification existent (substantiel, élevé, élevé-LPM), avec des exigences croissantes en termes de compétences et de contrôles.
La qualification atteste du respect par le prestataire des aspects contractuels, de la législation et de la réglementation et de l'impartialité, de la protection de l'information (au niveau Diffusion Restreinte), des exigences de qualité et de sécurité de ses process d'audit et de la compétence de ses auditeurs pour les activités qualifiées. La qualification est délivrée pour trois ans, sous réserve de la réalisation d'audit de surveillance à 18 mois. Les auditeurs doivent également passer les examens écrits et oraux tous les 3 ans.
Lien avec NIS2
Le recours à un prestataire qualifié PASSI s'impose pour les entités assujetties à NIS2 dans le cadre de leur mise en conformité. Tester régulièrement les dispositifs par des exercices de crise cyber, des audits internes, des tests d'intrusion réalisés par des prestataires qualifiés PASSI, et des simulations d'incidents fait partie des obligations de pilotage continu prévues par la directive.
Pour les Opérateurs d'Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE), le recours à un prestataire qualifié est souvent une obligation légale. Dans le contexte NIS2, les futurs assujettis classés entités essentielles ou importantes devront justifier d'audits réalisés par des prestataires qualifiés pour démontrer leur conformité aux dix mesures techniques et organisationnelles imposées par l'Article 21 §2 de la directive. La traçabilité de la compétence du prestataire, exigée par la qualification PASSI, répond aux attentes de l'ANSSI en matière de gouvernance cyber et de gestion des risques.
Les entités régulées peuvent consulter la liste officielle des prestataires qualifiés sur le site de l'ANSSI ou via les organismes de certification habilités.