Appel public à commentaires sur la mise à jour du référentiel PASSI

Des travaux débutés en 2022 permettent à l’ANSSI de proposer une mise à jour du référentiel d’exigences applicables aux prestataires d’audit de la sécurité des systèmes d’information (PASSI). Cette proposition est mise en ligne dans le cadre d’un appel public à commentaires avant la publication d’une version applicable.

Publié le 25 Octobre 2023 Mis à jour le 08 Novembre 2023

L’ANSSI publie la mise à jour du référentiel d’exigences applicables aux prestataires d’audit de la sécurité des systèmes d’information. Celle-ci a été élaborée en concertation avec les acteurs du marché, l’ANSSI et au travers des retours d’expérience de la mise en œuvre du référentiel PASSI depuis 2013.

Quelles mises à jour sont envisagées ? 

Les principales mises à jour proposées sont les suivantes :

  • création de deux niveaux d’assurance (substantiel et élevé) et répartition des exigences selon ces deux niveaux afin de mieux adapter l’offre aux besoins de bénéficiaires variés par leur taille, par leur moyen et par les éventuelles obligations légales ou réglementaires auxquelles ils doivent se conformer. L’introduction des niveaux d’assurance substantiel et élevé permet de s’aligner avec le règlement européen relatif à la certification de la cybersécurité (Cybersecurity Act) ;
  • indépendance de qualification des activités audit organisationnel et physique et tests d’intrusion ;
  • simplification des exigences générales et homogénéisation de celles-ci avec les référentiels applicables aux prestataires de réponses aux incidents de sécurité (PRIS), aux prestataires d'accompagnement et de conseil en sécurité des systèmes d'information (PACS) et aux prestataires de détection des incidents de sécurité (PDIS) ;
  • clarification et ajout d’exigences métier pour le niveau d’assurance élevé.

Comment se déroule l'appel à commentaires ?

Les observations, commentaires et propositions peuvent être transmis jusqu’au 30 novembre 2023 de préférence par courriel, à l’adresse commentaires-passipdispris[at]ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous.

Afin de faciliter le travail de relecture, deux versions du référentiel mis à jour sont mises à disposition : une version sans marque de révision et une version avec marques de révision permettant d’identifier l’ensemble des modifications apportées vis-à-vis de la version 2.1 du référentiel.

Le public cible de cet appel public à commentaires est le suivant :

  • les prestataires d’audit de la sécurité des systèmes d’information qualifiés ou en cours de qualification ;
  • les prestataires souhaitant obtenir la qualification de leur service d’audit ;
  • les organismes procédant à l’évaluation de la conformité de prestataires d’audit ;
  • les bénéficiaires et commanditaires de prestations d’audit.

L’ANSSI publiera, à l’issue de l’appel public à commentaires et après consolidation des commentaires reçus, la mise à jour du référentiel ainsi que sa mise en œuvre. Les modalités de transition pour les prestataires d’audit de la sécurité qualifiés et en cours de qualification seront également publiées.

L’ANSSI remercie par avance tous ceux qui répondront à cet appel à commentaires.