Qualification ANSSI
PASSI-LPM : Prestataire d'Audit de la Sécurité des Systèmes d'Information Loi de Programmation Militaire
La qualification PASSI-LPM représente le plus haut niveau d'exigence en matière d'audit de cybersécurité en France. Elle autorise le prestataire à réaliser des audits de cybersécurité sur les systèmes informatiques des Opérateurs d'Importance Vitale (OIV) définis dans le cadre de la Loi de Programmation Militaire, quel que soit le secteur concerné (Défense Nationale, Énergie, Finance…).
Contexte et périmètre
La qualification PASSI-LPM est obtenue sur l'ensemble des cinq portées du référentiel PASSI : audit d'architecture, audit de configuration, audit de code source, test d'intrusion, audit organisationnel et physique. Contrairement à la qualification PASSI RGS destinée aux organismes publics et services essentiels, la variante LPM est obligatoire pour les OIV qui doivent solliciter un prestataire qualifié PASSI-LPM pour la sécurisation de leurs Systèmes d'Information d'Importance Vitale (SIIV).
Pour les niveaux élevés et élevés-LPM, les auditeurs doivent passer sur chacune des 5 portées un examen écrit et oral tous les 36 mois afin de confirmer leurs compétences. Délivrée par l'ANSSI, cette qualification n'est attribuée qu'à un nombre très limité de prestataires capables de répondre aux critères techniques, organisationnels et humains les plus stricts.
Lien avec NIS2
Les entités essentielles et importantes au titre de NIS2 ne sont pas soumises à l'obligation de recourir à un PASSI-LPM, sauf si elles sont également désignées OIV au titre de la LPM. Toutefois, la directive NIS2 impose des audits réguliers de sécurité (Article 21 §2) pour vérifier la conformité aux mesures techniques et organisationnelles. Un PASSI-LPM peut réaliser ces audits avec un niveau de garantie supérieur et une méthodologie reconnue par l'État.
Pour une entité régulée NIS2 sans statut OIV, un prestataire PASSI RGS ou un auditeur interne peut suffire. En revanche, les entités OIV relevant aussi de NIS2 bénéficient d'une double conformité : le recours au PASSI-LPM couvre à la fois les exigences LPM et facilite la preuve de conformité NIS2 en matière d'audit de sécurité. Voir également /mesures/audits-securite et /prestataires/passi.