Réglementaire

PASSI

Définition

PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) est une qualification délivrée par l'ANSSI aux prestataires d'audit qui respectent un référentiel d'exigences précis, portant à la fois sur les compétences des auditeurs, la méthodologie et la déontologie. La qualification distingue cinq portées : audit d'architecture, audit de configuration, audit de code source, tests d'intrusion, et audit organisationnel et physique.

Pourquoi c'est important

pour certains audits réglementaires, en particulier ceux exigés des OIV au titre de la LPM ou de secteurs régulés, le recours à un prestataire qualifié PASSI est obligatoire. Au-delà de l'obligation, la qualification offre un gage de sérieux : un cadre méthodologique éprouvé, la traçabilité des travaux, la protection des données collectées pendant l'audit et des auditeurs dont les compétences ont été vérifiées. Pour un RSSI, exiger le référentiel PASSI, c'est se prémunir contre les audits superficiels et les rapports non exploitables. La qualification impose notamment une convention d'audit détaillée, une gestion stricte des accès et des preuves, ainsi qu'un rapport dont les constats sont hiérarchisés et étayés. Elle encadre aussi la posture de l'auditeur, tenu à un devoir de conseil et d'indépendance vis-à-vis des solutions qu'il pourrait recommander.

Comment AOCSI l'adresse

nos audits reprennent les portées et les exigences méthodologiques du référentiel PASSI, avec une traçabilité complète et des livrables priorisés selon le risque réel. Découvrez le périmètre couvert dans nos audits de cybersécurité.

De la définition à la protection.

Nos experts transforment ces concepts en sécurité concrète pour votre organisation.