Article
10/3/2025

Guide pratique : l'audit PASSI en 10 questions, vu par un auditeur Holiseum qualifié PASSI

Guide pratique : l'audit PASSI en 10 questions, vu par un auditeur Holiseum qualifié PASSI

Guide pratique : l'Audit PASSI en 10 questions, avec un auditeur PASSI Holiseum

Dans un contexte où les menaces informatiques évoluent constamment, l'audit PASSI constitue un outil stratégique pour garantir la protection des données sensibles et assurer la conformité aux exigences réglementaires françaises. Réalisé par des prestataires qualifiés selon des standards rigoureux établis par l'ANSSI, l'audit PASSI permet d'identifier méthodiquement les vulnérabilités potentielles et d'établir une feuille de route claire pour améliorer la posture de cybersécurité d'une organisation.
Holiseum, qualifié PASSI sur l'ensemble des portées d'audit par l'ANSSI, répond à toutes vos questions à propos de l'audit PASSI dans cet article :

1. Qu’est-ce qu’un audit PASSI ?

Un audit PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) est une évaluation de sécurité réalisée par un organisme qualifié par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Cette qualification garantit que l'audit est effectué selon des standards professionnels reconnus par l'État français.

2. Quels sont les différentes composantes d’un audit PASSI ?  

L’audit PASSI est composé de 5 types d’audits appelés portées pour lesquelles il est possible de faire appel à une entreprise qualifiée PASSI.
Holiseum fait partie des rares prestataires à être qualifiés PASSI sur l’ensemble des 5 portées d’audit à savoir :

1. Audit organisationnel et physique : Analyse des procédures, des politiques de sécurité et de la gestion des accès physiques aux locaux sensibles.

2. Tests d’intrusion : Simulation d’attaques pour évaluer la résistance du système face à des tentatives de compromission externes ou internes.

3. Audit d'architecture : Analyse de l'architecture technique et des flux d'information pour identifier des failles structurelles.

4. Audit de configuration : Vérification des configurations des équipements (serveurs, pare-feu, routeurs, etc.) et des logiciels pour garantir qu’ils respectent les bonnes pratiques de sécurité.

5. Audit de code source : Analyse du code source des applications pour détecter des vulnérabilités (comme des failles d'injection SQL, des erreurs de gestion des droits, etc.).

3. Quel est l’objectif d’un audit PASSI ?

L’objectif principal d’un audit PASSI est d’évaluer le niveau de sécurité des systèmes d’information d’une organisation, en identifiant les failles, les vulnérabilités et les risques qui pourraient compromettre la confidentialité, l’intégrité ou la disponibilité des données et des systèmes.

4. Quels sont les avantages d’un audit PASSI ?

• Conformité réglementaire : Certains audits, notamment pour des systèmes classifiés ou critiques, nécessitent l’intervention d’un prestataire qualifié par l’ANSSI.

• Fiabilité des résultats : La qualification PASSI garantit que l’audit est réalisé selon des méthodologies reconnues et avec le plus haut niveau de compétence.

• Confidentialité et déontologie : Les auditeurs qualifiés PASSI respectent des engagements stricts de confidentialité et d’impartialité.

5. Qui est concerné par les audits PASSI ?

L’audit PASSI concerne tous types d’organisations et intervient par exemple dans le cadre d'homologations ou de manipulation de données sensibles.
Toutefois, certaines organisations, telles que les OIV (Opérateur d’Importance Vitale), sont soumises à des obligations réglementaires qui exigent le recours à un prestataire d'audit de sécurité qualifié PASSI pour effectuer leurs audits.

6. Quelle est la durée d’un audit PASSI ?

Généralement, le temps de réalisation d’un audit PASSI est similaire à celui d’un audit classique. La variable de temps dépendra avant tout de l'étendue du périmètre à auditer, du nombre de portées à réaliser.

7. Comment bien se préparer à un audit PASSI ?

Nos auditeurs PASSI conseillent toujours à nos clients de bien circonscrire le périmètre à auditer, d’inventorier toute leur documentation cyber et d’identifier une période de disponibilité des opérateurs (éviter les périodes de forte activité). Pour les audits techniques, de la documentation technique telle que des schémas d'architecture et des matrices de flux pourront donner de la visibilité sur le périmètre à auditer.

8. De quel niveau d’expertise justifient les auditeurs PASSI ?

Un auditeur PASSI se qualifie via un examen écrit et oral. Il doit également justifier d’une expérience terrain significative. Un auditeur PASSI doit renouveler sa qualification tous les 3 ans.

Un auditeur PASSI maîtrise la base documentaire qui définit le cadre règlementaire défini par l’ANSSI. Dans cette base, nous retrouvons 4 documents principaux :
- ISO 19001
- IGI1300 (instruction générale interministérielle n° 1300 pour la protection du secret de la défense nationale)
- II901 (instruction interministérielle 901 relative à la protection des systèmes d'information sensibles)
- RGS (référentiel général de sécurité)

9. Quel document prouve qu’un audit PASSI a été réalisé ?

La réalisation d’un audit PASSI nécessite de respecter la méthodologie décrite par l’ANSSI ainsi qu’un certain nombre d’exigences. La mention PASSI est inscrite dans l’ensemble des documents produits dans le cadre de l’audit et particulièrement dans le rapport d’audit ainsi que dans le PV de fin de mission précisant que la méthodologie PASSI a bien été appliquée durant l’audit mené au sein de votre organisation.

10. Comment savoir si Holiseum est bien qualifié PASSI ?

Holiseum est qualifié PASSI sur l’ensemble des 5 portées d’audits et est, à ce titre, référencé sur le portail de l’ANSSI : https://cyber.gouv.fr/produits-services-qualifies/holiseum-0

Nos auditeurs fournissent par ailleurs notre certificat de qualification PASSI en amont de chaque mission d’audit PASSI.

Demandez votre devis personnalisé ici

L'ANSSI recommande aux organisations de démarrer dès maintenant les travaux de mise en conformité NIS 2.
Publiée le 27 décembre 2022, l’adaptation dans le droit national français de la directive NIS 2 est prévue pour le 17 octobre 2024.
En tant qu'expert en cybersécurité des infrastructures critiques et industrielles, Holiseum vous accompagne dans ces démarches essentielles dès aujourd'hui.
Pour en savoir plus sur nos accompagnements, RDV ici !

De la directive NIS 1 à NIS 2

La directive européenne NIS 1 (Network and Information System Security), adoptée en 2016, visait à renforcer la cybersécurité des opérateurs de services essentiels (OSE) et des Fournisseurs de services numériques (FSN). Depuis, les cybermenaces ont explosé, avec une augmentation de 30 % des attaques par ransomware entre 2022 et 2023 en France [1]. Pour répondre à cette escalade des menaces, la directive NIS 2 s'impose comme une mise à jour cruciale pour mieux protéger les organisations, y compris les administrations des États membres de l'Union européenne.

Mon organisation est-elle concernée par la directive NIS 2 ?

La directive NIS 2 étend son champ d’application à plus de 10 000 entités, dans 18 secteurs d’activité clés, contre 7 pour la NIS 1 [2].

Secteurs hautement critiques :

Administrations publiques
Eaux potables
Eaux usées
Énergies
Espace
Gestion des services Technologies de l’Information et de la Communication (interentreprises)
Infrastructures des marchés financiers
Infrastructures numériques
Santé
Secteur bancaire
Transports

Autres  secteurs critiques :

Fabrication, production et distribution de produits chimiques
Fournisseurs numériques
Gestion des déchets
Industrie manufacturière
Production, transformation et distribution de denrées alimentaires

Recherche
Services postaux et d’expédition
Ces organisations sont des collectivités territoriales, administrations, moyennes ou grandes entreprises. Pour assurer une proportionnalité des traitements, la directive distingue deux catégories d’entités selon leur degré de criticité, taille, chiffre d’affaires (pour les entreprises).
Bon à savoir : Comment savoir si votre entité (publique ou privée) est concernée par la directive NIS 2 ?
Vous pouvez réaliser gratuitement un test sur MonEspaceNIS2. Ce service est proposé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en lien avec BetaGouv de la Direction interministérielle du numérique (DINUM).
https://fr.freepik.com/photos-gratuite/nature-morte-illustrant-concept-ethique_26407562.htm#fromView=search&page=1&position=6&uuid=a7f8ac4a-18df-4a3f-97d5-b8393e17939a

Préparez-vous à la directive NIS 2 avec Holiseum

Spécialiste de la cybersécurité des infrastructures industrielles et critiques, Holiseum vous accompagne dès maintenant dans votre mise en conformité NIS 2.

Choisir Holiseum pour prendre en charge votre mise en conformité NIS 2, c’est aussi choisir un acteur qualifié PASSI (Prestataires d’audit en sécurité des systèmes d’information) sur l’ensemble des portées d’audit, en cours de qualification PACS (Prestataire d’Accompagnement et de Conseil en Sécurité des systèmes d’information) sur les activités Analyse de risque et homologation, et ainsi bénéficier d’une présomption de conformité pour les audits de sécurité sur vos systèmes d’information.

Vous souhaitez en savoir plus sur nos capacités d’accompagnement ? Contactez nos équipes dès aujourd’hui, en cliquant ici. Nous serons heureux de vous aider à entreprendre vos travaux de mise en conformité dans les plus brefs délais tout en vous aidant à prendre en compte le coût des travaux nécessaires dans votre budget 2025 !

Quels sont les principaux changements apportés par la directive NIS 2 ?

La directive européenne NIS 2 impose aux entités concernées de respecter trois grandes obligations [4].
L’ANSSI laisse trois ans aux entités pour se mettre en conformité avec la directive NIS 2. Toutefois, des contrôles du déploiement des plans d’action ne sont pas à exclure durant ce laps de temps. Mieux vaut donc démarrer dès maintenant les travaux, pour ne pas prendre du retard. Les auditeurs expérimentés de Holiseum (+7 ans d’expérience en moyenne) mettent à profit de votre organisation leur haut niveau d’expertise dans la mise en conformité réglementaire cyber. Cliquez ici pour en savoir plus sur nos accompagnements.
Bon à savoir : Quel coût financier pour les entités ?
Le budget à prévoir pour se mettre en conformité avec la directive NIS 2 varie selon plusieurs éléments. Parmi eux, l’état actuel du niveau de sécurité numérique de l’entité, sa dépendance aux technologies numériques ou encore le nombre d’équipements numériques possédés [5].Moins cette dernière est mature d’un point de vue cybersécurité, plus ses dépenses sont élevées.

Contactez-nous pour en savoir plus !

NIS 2 : quels sont les risques en cas de non-conformité à la nouvelle directive européenne ?

https://fr.freepik.com/photos-gratuite/arrangement-nature-morte-liberte-financiere-espace-copie_18987178.htm#fromView=search&page=1&position=31&uuid=5152ac6d-785f-4998-b67c-88d037fa58e8
Des actions de supervision sont menées par l’ANSSI, en France, pour garantir la mise en œuvre effective de la directive NIS. Le non-respect des obligations imposées par la nouvelle réglementation expose les entités à des mises en demeure, mais aussi des sanctions financières. Les amendes sont proportionnées à la gravité du manquement constaté, comme ce qui est prévu dans le Règlement général sur la protection des données (RGPD). Elles peuvent atteindre jusqu’à 2 %du chiffre d’affaires mondial (ou 10 millions d’euros) pour les entités essentielles, 1,4 % (ou 7 millions d’euros) pour les entités importantes [6].

Responsabilité des organes de direction en matière de cybersécurité sous la directive NIS 2

La directive NIS 2 renforce la responsabilité des organes de direction des entités concernées en matière de cybersécurité [7]. Ils peuvent être considérés comme responsables, par l’entité, du non-respect des obligations relatives à la gestion de ces risques, notamment en cas de :
L’adoption de la directive NIS 2 marque un tournant majeur dans la lutte contre les cybermenaces en Europe. Elle vise à renforcer la sécurité des secteurs critiques face à des risques croissants, de plus en plus sophistiqués. Son succès dépendra de la mobilisation collective des acteurs publics comme privés.
Les 3 points clés à retenir :
L’ANSSI recommande aux organisations de ne pas tarder à mettre en place les travaux de mise en conformité NIS 2. Holiseum vous accompagne dès aujourd’hui. Des sanctions importantes sont prévues pour les organisations et/ou leurs dirigeants en cas de non-respect des obligations.
En France, l’ANSSI sera chargée du contrôle du respect des obligations par les entités concernées, dès octobre 2024.
De nombreuses infrastructures industrielles et critiques font déjà confiance à Holiseum pour leur accompagnement. Contactez-nous pour en savoir plus !
[1]https://cyber.gouv.fr/actualites/lanssi-publie-le-panorama-de-la-cybermenace-2023[2]https://monespacenis2.cyber.gouv.fr/directive#hero[3]https://monespacenis2.cyber.gouv.fr/directive#hero[4]https://monespacenis2.cyber.gouv.fr/directive#hero[5]https://aide.monespacenis2.cyber.gouv.fr/fr/article/quel-sera-le-cout-financier-pour-les-entites-1u487hw/[6]https://monespacenis2.cyber.gouv.fr/directive#hero[7]https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32022L2555

Articles récents

Communiqué de Presse
March 20, 2025
Holiseum rejoint Integrity 360 : Une alliance stratégique pour renforcer l'expertise cybersécurité en France
Article
January 9, 2025
Votre organisation est-elle prête à affronter une crise cyber ?
Article
October 9, 2024
L’intelligence artificielle, alliée ou ennemie de votre cybersécurité ?
Contactez-nous en cliquant ici

Nos services :

ConseillerAuditerSécuriserFormerInvestiguer

Informations :

IdentitéActusCarrièreMentions légalesPolitique de confidentialité

Suivez-nous :

© 2023 Holiseum.