digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
Vous devez passer un audit PASSI LPM, mais vous ne savez pas exactement ce que cela implique ? Pas de panique : on vous explique tout, sans jargon inutile, avec des exemples concrets. Parce que la sécurité de votre système d’information ne peut plus attendre.
Ce qu’il faut retenir
- L’audit PASSI LPM est une obligation pour les OIV définis par l’État français.
- Seul un prestataire qualifié par l’ANSSI peut réaliser cet audit en toute légalité.
- Il existe plusieurs types d’audits PASSI : intrusion, configuration, code source, organisationnel, architecture.
- La loi de programmation militaire (LPM) impose un niveau élevé de sécurité pour les systèmes vitaux.
- L’audit vise à renforcer la cybersécurité, garantir la confidentialité et assurer la continuité des activités critiques.
- Le déroulement suit un cadre strict : cadrage, tests, rapport, plan d’actions.
- Bien choisir son prestataire PASSI, c’est éviter une “usine à slides” et obtenir un vrai accompagnement.
- Un audit réussi permet de gagner en crédibilité, d’éviter les sanctions, et de dormir un peu mieux la nuit.
Qu’est-ce qu’un audit PASSI LPM ?
Un audit PASSI LPM, c’est bien plus qu’un simple contrôle technique. C’est une vérification poussée de la sécurité de vos systèmes d’information vitaux (SIIV), réalisée par un prestataire qualifié par l’ANSSI. Et si vous êtes un OIV (opérateur d’importance vitale), ce n’est pas une option : c’est une obligation légale définie par la loi de programmation militaire (LPM).
Concrètement, il s’agit d’identifier les failles de sécurité, d’évaluer les risques, et de garantir la conformité de vos dispositifs aux exigences fixées par l’État français. C’est une démarche structurée, encadrée par un référentiel strict, et qui concerne autant l’aspect technique que l’organisationnel.
Vous ne jouez pas seulement pour vous : vous jouez pour la nation. Car la LPM vise à protéger le fonctionnement de l’État, les intérêts économiques, la sécurité publique et même la défense nationale. Si votre système tombe, c’est tout un pan de l’infrastructure française qui peut en subir les conséquences. Pas de pression hein.
Un mot sur la qualification PASSI
Le label PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) est délivré par l’ANSSI, l’agence nationale de la sécurité des systèmes d’information. Il garantit que le prestataire respecte des critères stricts de compétence, d’indépendance, de méthodologie et de confidentialité. Bref, ce n’est pas un consultant improvisé avec un PowerPoint et une boîte à outils douteuse.
Qui est concerné par l’audit PASSI LPM ?
Si vous vous posez encore la question, c’est probablement que vous êtes… concerné. Mais posons les choses clairement.
Quelles organisations sont visées par la LPM ?
La loi de programmation militaire s’adresse en priorité aux opérateurs d’importance vitale (OIV). Il s’agit d’organisations publiques ou privées dont l’activité est jugée essentielle au bon fonctionnement de la nation. En clair : si vous tombez, ça coince partout.
On parle ici de secteurs comme :
- l’énergie (gaz, électricité, nucléaire),
- les transports,
- les télécommunications,
- la finance (banques, assurances),
- l’eau, la santé, ou encore la sécurité.
Mais attention : même si vous n’êtes pas officiellement OIV, certaines entreprises stratégiques sont assimilées à des opérateurs critiques. Et vous pouvez très bien être intégré dans la chaîne de valeur d’un OIV, ce qui vous expose aux mêmes exigences.
Et les autres acteurs critiques ?
Des opérateurs de services essentiels (OSE), des fournisseurs technologiques, ou même des entreprises sous-traitantes dans les secteurs sensibles (cloud, IT, télécom…) peuvent être directement ou indirectement concernés. Et si ce n’est pas encore le cas, ça ne saurait tarder : la directive NIS2 élargit le champ.
Peut-on réaliser l’audit en interne ?
Non. C’est formel. La réglementation impose de passer par un prestataire externe qualifié PASSI. Cela garantit l’impartialité, la compétence, et la conformité des audits. Pas question de faire un audit maison à la va-vite pour cocher une case.
Pourquoi faire appel à un prestataire qualifié PASSI ?
Vous pensez que vos équipes internes peuvent s’en charger ? Mauvaise pioche. La loi est formelle : seul un prestataire qualifié PASSI peut réaliser l’audit exigé par la LPM. Et ce n’est pas une formalité : c’est une vraie mission de confiance encadrée par l’État.
Qu’est-ce qu’un prestataire qualifié PASSI ?
C’est une entreprise reconnue officiellement par l’ANSSI, ayant obtenu le visa de sécurité après une procédure de qualification rigoureuse. Elle doit démontrer :
- une compétence technique de haut niveau (auditeurs certifiés, méthodologies éprouvées),
- une indépendance absolue vis-à-vis de vos projets ou infrastructures,
- une capacité à traiter des données sensibles en toute confidentialité,
- une méthodologie alignée avec les référentiels de l’ANSSI.
En bref : un prestataire de confiance. Pas un « copain du service sécu » ou un consultant généraliste qui vous vend de l’audit entre deux présentations sur le cloud souverain.
Quels sont les risques si vous ne passez pas par un qualifié ?
- L’audit peut être rejeté par les autorités.
- Vous pouvez être hors conformité vis-à-vis de la LPM.
- Et surtout, vous manquez l’opportunité d’un vrai regard expert et indépendant sur la sécurité de votre SI.
Faire appel à un prestataire qualifié PASSI, c’est garantir la valeur et la validité de l’audit, mais aussi obtenir un accompagnement réel, opérationnel et contextualisé. C’est la différence entre un rapport de 80 slides sans suite… et un plan d’actions concret qui protège votre activité.
Quels sont les niveaux de qualification PASSI ?
Tous les audits PASSI ne se valent pas. En réalité, la qualification PASSI couvre cinq domaines d’expertise, chacun correspondant à un type d’audit spécifique. Et non, il ne suffit pas de savoir scanner trois ports pour prétendre à tout faire.
Les 5 domaines de qualification PASSI reconnus par l’ANSSI
- Test d’intrusion (pentest)
Pour simuler des attaques réelles et identifier les failles de vos systèmes. Vous pensez être à l’abri ? Attendez de voir ce que découvre un bon pentesteur. - Audit de configuration
Analyse des réglages de vos équipements (pare-feux, serveurs, systèmes d’exploitation…). Un simple oubli, et c’est la porte ouverte. - Audit de code source
Vérification manuelle ou assistée du code de vos applications. Très utile pour débusquer les vulnérabilités logiques ou les erreurs de sécurité dans vos propres développements. - Audit organisationnel et physique
Étude de vos procédures, de la gestion des accès, mais aussi de l’environnement physique. Vos badges, vos armoires, vos salles serveurs : tout y passe. - Audit d’architecture
Évaluation de la robustesse de l’architecture globale de votre système d’information. Un regard transversal qui permet de comprendre où se nichent les vrais points de rupture.
Quel domaine pour quel besoin ?
Tout dépend de votre situation :
- Un OIV soumis à la LPM devra souvent couvrir plusieurs domaines à la fois, notamment les audits d’architecture et de configuration.
- Une entreprise qui développe en interne devra penser à l’audit de code source.
- En cas de doute sur l’efficacité de vos contrôles internes : audit organisationnel.
Le plus important ? S’assurer que votre prestataire PASSI est qualifié pour les domaines dont vous avez besoin. Tous ne le sont pas. Et attention aux offres floues ou « génériques » : si c’est flou, c’est qu’il y a un loup.
Comment se déroule un audit PASSI LPM ?
Non, un audit PASSI, ce n’est pas un simple questionnaire à remplir ou une réunion Teams avec quelques slides. C’est un processus rigoureux, structuré, et encadré par un référentiel. Et si vous êtes un OIV ou assimilé, il faut jouer le jeu sérieusement.
Les grandes étapes d’un audit PASSI
- Phase de cadrage
- Définition du périmètre (systèmes concernés, applications critiques, zones sensibles…)
- Établissement des objectifs, contraintes et règles de fonctionnement
- Planification des interventions, accès et responsabilités
- Phase d’audit
- Réalisation des tests techniques (selon les domaines concernés : intrusion, code, config…)
- Évaluation des procédures internes et de l’organisation (accès, gestion des incidents…)
- Analyse des architectures, cartographies, flux, interfaces critiques
- Restitution des résultats
- Présentation des vulnérabilités identifiées, avec leur criticité
- Démonstration d’exemples concrets d’exploitation possible
- Échanges sur les causes racines et les impacts potentiels
- Plan d’actions correctives
- Recommandations précises, priorisées, actionnables
- Accompagnement possible à la mise en œuvre (selon les prestataires)
- Proposition d’un second audit ou d’un suivi si besoin
Quels livrables attendre ?
- Un rapport d’audit détaillé, conforme aux attentes de l’ANSSI
- Une synthèse managériale, pour faire passer les bons messages à votre direction
- Un plan d’actions priorisé, clair et orienté résultat
- Des preuves techniques en cas de tests réalisés
Combien de temps faut-il prévoir ?
Ça dépend. Du périmètre, du nombre de systèmes, du niveau de maturité… En moyenne :
- Entre 2 à 5 semaines pour un audit complet.
- Avec un effort réparti entre vos équipes internes et les auditeurs.
Petit conseil : anticipez. Rien de pire que de subir un audit en mode urgence avec des équipes déjà surchargées.
Quels audits sont requis par la LPM ?
La loi de programmation militaire ne plaisante pas avec la cybersécurité. Elle impose des audits pour garantir un niveau de sécurité élevé sur les systèmes considérés comme vitaux pour la nation. Et ces audits ne sont pas laissés à l’appréciation de chacun.
Les audits obligatoires pour les OIV
Si votre entreprise est identifiée comme opérateur d’importance vitale, vous avez l’obligation de :
- Faire auditer vos systèmes d’information vitaux (SIIV) par un prestataire qualifié PASSI
- Réaliser cet audit selon un calendrier défini par l’ANSSI
- Fournir les résultats dans un format conforme et soumis à la validation de l’État
Concrètement, cela inclut des audits :
- D’architecture, pour valider la robustesse du SIIV
- De configuration, pour vérifier les dispositifs en place
- D’organisation, pour évaluer les processus internes et la gestion des accès
- Et parfois de code source ou tests d’intrusion, selon le contexte
Des audits déclenchés par différents événements
L’audit PASSI LPM peut être :
- Initial : lors de l’identification du SIIV ou à la mise en conformité
- Périodique : tous les X mois/années selon les exigences
- Déclenché : après une évolution majeure (changement d’architecture, incident grave, nouveau projet critique…)
Et pour les autres entreprises ?
Même si vous n’êtes pas (encore) soumis à la LPM, ces audits deviennent une bonne pratique incontournable :
- Pour répondre à des exigences client ou partenaires
- Pour se préparer à la directive NIS2 qui élargit les obligations de cybersécurité
- Pour rassurer la direction ou les investisseurs sur la maturité sécurité
- Et tout simplement pour renforcer votre niveau de résilience, face à des menaces toujours plus sophistiquées
Comment évaluer la sécurité de son système d’information ?
Avant même de passer un audit PASSI, il est essentiel de savoir où vous en êtes. Car naviguer à l’aveugle dans un SI, c’est comme piloter un avion sans tableau de bord. Et spoiler : ça finit mal.
Quels indicateurs suivre ?
Voici les signaux de base que tout DSI ou RSSI devrait connaître :
- Nombre de vulnérabilités identifiées (et corrigées, c’est mieux)
- Taux de patching des systèmes critiques
- Score de surface d’exposition externe
- Résultats des campagnes de phishing interne
- Nombre d’incidents de sécurité déclarés
- Audit trail : vos logs sont-ils activés, analysés, exploitables ?
- Cartographie des actifs et des données sensibles
Sans ces éléments, impossible de piloter. Et encore moins d’anticiper.
Comment anticiper un audit PASSI ?
Voici quelques actions concrètes :
- Faire un pré-audit interne : ou un diagnostic rapide avec un cabinet externe
- Reprendre la documentation : procédures, politiques de sécurité, schémas d’architecture
- Impliquer les métiers : car la sécurité n’est pas qu’une affaire de DSI
- Identifier les zones critiques : ce sont les priorités de l’audit
Bref, évitez de découvrir vos failles le jour J. C’est mauvais pour le stress. Et pour votre image.
Quels outils ou méthodes utiliser ?
- Outils d’analyse de vulnérabilités : type Nessus, Qualys, Rapid7…
- SIEM et solutions de supervision : pour avoir une vue d’ensemble
- Matrices de risque et référentiels ISO 27001, RGS, NIS pour structurer l’évaluation
- Et bien sûr, l’aide d’un consultant ou expert qualifié, qui vous guidera sans tomber dans le jargon stérile
Pas besoin d’être parfait, mais il faut être prêt à montrer que vous maîtrisez vos risques.
Quels sont les bénéfices d’un audit PASSI ?
Soyons clairs : un audit PASSI, ce n’est pas juste un mal nécessaire. C’est un levier puissant pour renforcer votre cybersécurité, gagner en crédibilité… et dormir un peu mieux la nuit.
Des bénéfices concrets, pas théoriques
- Renforcement réel de la sécurité
Vos vulnérabilités ne seront plus des hypothèses : elles seront identifiées, documentées, priorisées. Et corrigées. - Conformité réglementaire assurée
Vous répondez aux exigences de la LPM, du RGS, de la directive NIS2. Vous montrez patte blanche aux autorités. - Crédibilité renforcée auprès des directions et clients
Un audit validé par un prestataire PASSI reconnu, ça en impose. Surtout quand vous devez convaincre un COMEX ou un client sceptique. - Meilleure gouvernance
Grâce à un plan d’actions clair, vous structurez votre démarche de cybersécurité. Vous sortez de la réactivité permanente. - Montée en compétences de vos équipes
L’audit, c’est aussi un moment d’échange. Vos équipes apprennent, comprennent mieux les enjeux, et progressent. - Vision claire des priorités
Fini les plans cybersécurité flous ou les arbitrages à l’aveugle. L’audit vous donne une feuille de route nette et actionable. - Réduction du risque organisationnel et juridique
Moins de failles, moins d’incidents, moins de responsabilités non assumées. Et plus de tranquillité.
Bonus : ce que vous gagnez… sans le dire
- Du temps : avec des outils et process optimisés
- De la sérénité : parce que vous avez repris la main sur vos systèmes
- Et surtout… une place plus stratégique dans l’organisation : enfin considéré comme un acteur clé, pas juste comme “le service qui dit non”
FAQ – Réponses rapides aux questions fréquentes
Un audit PASSI est-il obligatoire pour les PME ?
Non, pas par défaut. Mais si vous êtes sous-traitant d’un OIV, dans un secteur critique, ou si vous souhaitez anticiper la directive NIS2… vous feriez bien de vous y intéresser.
Combien coûte un audit PASSI ?
Ça dépend du périmètre, du type d’audit, de la complexité technique… mais comptez entre 10 000 € et 50 000 € en moyenne. Ce n’est pas une dépense, c’est un investissement dans la continuité de votre activité.
Puis-je faire appel à un prestataire non qualifié ?
Non, pas si vous êtes soumis à la LPM. L’ANSSI exige un prestataire PASSI officiellement qualifié. Sinon, l’audit n’a aucune valeur réglementaire.
Quelle est la durée de validité d’un audit PASSI ?
En général, un audit est valable 1 à 3 ans, selon les cas. Mais toute évolution majeure du SI (nouvelle infra, migration cloud, incident critique…) peut nécessiter un nouvel audit.
Est-ce que l’audit interrompt l’activité ?
Non, si c’est bien cadré. Un bon prestataire PASSI s’adapte à vos contraintes, minimise les interruptions, et évite tout impact en production.
Conclusion – Se préparer efficacement à l’audit PASSI LPM
Ne pas faire d’audit, c’est comme rouler sans ceinture sur l’autoroute numérique : à un moment, ça finit mal. Si vous êtes concerné par la LPM, ou si votre activité touche de près ou de loin à des secteurs critiques, l’audit PASSI n’est pas une case à cocher — c’est une démarche stratégique pour protéger votre entreprise, vos données, vos clients… et votre poste.
Alors, prêt à passer à l’action ? Chez Digitemis, on ne se contente pas d’auditer : on vous accompagne avant, pendant, et après. Avec des experts qualifiés, des livrables clairs, et surtout une compréhension fine de vos enjeux métier.
👉 Envie d’en parler ? Évaluez votre maturité ou planifiez un audit avec nos consultants dès maintenant.
