Homologation ANSSI 2026 : Référentiel OIV / OSE NIS2

L'homologation ANSSI est la procédure formelle par laquelle l'autorité d'emploi (président, directeur, ministre) atteste explicitement, par écrit, que les risques pesant sur un système d'information ont été identifiés, évalués et maîtrisés à un niveau de risque résiduel acceptable. Au-delà du symbole, c'est un acte juridique engageant le dirigeant — et pour les OIV, OSE, OIIV et entités publiques, elle est obligatoire. Ce guide 2026 détaille les fondements juridiques (RGS, IGI 1300, LPM, NIS2), la procédure en 9 étapes, le contenu du dossier d'homologation, le rôle de la commission d'homologation, et les pièges sur les audits PASSI / ITSec accompagnant la démarche. Issue de 12 missions d'accompagnement homologation menées 2024-2026 pour collectivités, OIV et OPCO français.

1. Qu'est-ce que l'homologation ANSSI

L'homologation de sécurité est définie par l'ANSSI comme "l'acte selon lequel l'autorité d'emploi atteste, en connaissance de cause, que les risques résiduels qui pèsent sur le système d'information sont à un niveau acceptable et que les mesures de sécurité retenues garantissent le respect des objectifs de sécurité". Trois éléments centraux : (1) c'est un acte d'autorité — pas un tampon technique, mais une décision dirigeante (président d'organisme, ministre, DG) ; (2) elle repose sur une analyse de risques formalisée (méthode EBIOS RM recommandée) ; (3) elle est limitée dans le temps et nécessite renouvellement périodique. L'homologation n'est pas une certification — elle reste interne à l'organisme — mais elle peut être exigée par tiers : marchés publics, partenariats inter-administrations, accès à infrastructure mutualisée (Réseau Interministériel de l'État RIE, ISIS Santé).

2. Cadres juridiques applicables en 2026

Quatre cadres juridiques imposent ou recommandent l'homologation en France. (1) RGS (Référentiel Général de Sécurité) — décret 2010-112 modifié 2017 — impose l'homologation à toute administration utilisant des téléservices avec usagers (sécurité-niveau-* basique/standard/renforcé). (2) IGI 1300 (Instruction Générale Interministérielle sur la protection du secret de la défense nationale) — impose homologation pour SI traitant information classifiée Confidentiel Défense, Secret Défense, Très Secret Défense. (3) LPM (Loi de Programmation Militaire 2013, articles 22 et suivants) + PSSI-E (Politique de Sécurité des SI de l'État 2014) — obligent les OIV (Opérateurs d'Importance Vitale, 11 secteurs, ~250 entreprises en France) à homologuer leurs SIIV (Systèmes d'Information d'Importance Vitale). (4) NIS2 (directive UE 2022/2555 transposée fin 2024) — impose une démarche équivalente pour les OSE (Opérateurs de Services Essentiels) et OIIV (Opérateurs d'Importance Vitale au sens NIS2), avec un périmètre étendu (18 secteurs, ~10 000 entités françaises). Voir NIS2 Directive.

3. Procédure d'homologation — 9 étapes

La procédure standard ANSSI comporte 9 étapes. Étape 1 — Décision d'homologuer : engagement formel de l'autorité d'emploi, lettre de mission, désignation responsable d'homologation. Étape 2 — Définition du périmètre : description du SI à homologuer (fonctionnel + technique + organisationnel + interconnexions), niveau de sensibilité, contexte d'emploi. Étape 3 — Analyse de risques EBIOS RM : 5 ateliers EBIOS RM produisant carte des risques et scénarios opérationnels. Étape 4 — Définition des mesures : sélection mesures techniques, organisationnelles, juridiques pour réduire risques au niveau acceptable. Étape 5 — Mise en œuvre : déploiement effectif des mesures, formation utilisateurs, documentation. Étape 6 — Audit : audit interne et/ou externe (souvent PASSI audit architecture/configuration/code/organisation) validant l'efficacité des mesures. Étape 7 — Dossier d'homologation : compilation de toutes les pièces (15-40 documents). Étape 8 — Commission d'homologation : revue collégiale par 5-15 membres (DG, RSSI, DPO, métier, IT, juridique), avis formel. Étape 9 — Décision et suivi : signature de l'attestation par l'autorité d'emploi, plan de suivi des mesures résiduelles, calendrier de renouvellement.

4. Contenu du dossier d'homologation

Le dossier d'homologation compile 15 à 40 documents. Pièces obligatoires : (1) lettre de mission de l'autorité d'emploi ; (2) description fonctionnelle et technique du SI (architecture, flux, données) ; (3) cartographie des composants matériels et logiciels ; (4) cartographie des interconnexions ; (5) analyse EBIOS RM complète (5 ateliers, 80-200 pages) ; (6) PSSI (Politique de Sécurité du SI) applicable ; (7) déclaration d'applicabilité des mesures retenues (référence ISO 27001 Annexe A 2022 ou Annexe C du RGS) ; (8) procédures opérationnelles (gestion incidents, gestion changements, gestion accès) ; (9) plan de continuité d'activité ; (10) rapport d'audit PASSI (architecture, configuration, code, organisation) ; (11) plan d'action des mesures correctives ; (12) avis du RSSI ; (13) avis du DPO si traitement de données personnelles ; (14) avis commission d'homologation ; (15) attestation signée par l'autorité d'emploi. Pour les SI traitant information classifiée (IGI 1300), s'ajoutent : (16) bilan sécurité physique, (17) liste habilitations, (18) homologations sous-jacentes (RIE, ISIS).

5. Rôle de la commission d'homologation

La commission d'homologation est un organe collégial qui examine le dossier et formule un avis à l'autorité d'emploi. Composition typique 5-15 membres : président (souvent secrétaire général ou directeur stratégie), RSSI (rapporteur), DPO (avis RGPD), responsable métier (légitimité usage), responsable juridique (analyse contrats sous-traitants), auditeur externe (PASSI invité), représentant ANSSI ou délégué régional (pour OIV/OSE), responsable IT (faisabilité technique). Travaux : 2-4 réunions sur 1-3 mois ; lecture critique du dossier ; questions précises sur risques résiduels ; éventuelles demandes de compléments avant avis final. L'avis peut être : favorable, favorable avec réserves (mesures complémentaires à réaliser sous délai), défavorable. L'autorité d'emploi peut homologuer malgré un avis défavorable mais doit motiver sa décision et endosse la responsabilité juridique.

6. Audit PASSI et homologation — articulation

Pour les OIV/OSE et entités publiques, l'audit PASSI (Prestataire d'Audit de la Sécurité des SI qualifié ANSSI) est exigé en amont de l'homologation. Quatre types d'audit PASSI : (1) audit d'architecture (revue documentaire et entretiens), (2) audit de configuration (revue paramétrage composants), (3) audit de code source (revue applicative), (4) test d'intrusion (pentest interne + externe). Pour une homologation niveau standard : audit architecture + configuration + tests d'intrusion suffisent. Niveau renforcé : ajout audit de code sur composants critiques. Le rapport PASSI doit être récent (< 12 mois), signé par auditeur qualifié, et identifier explicitement les non-conformités par rapport au référentiel applicable. En 2026 : ~50 prestataires PASSI qualifiés en France selon catégorie. Voir Qualification PASSI ANSSI.

7. Niveaux de sécurité RGS — basique, standard, renforcé

Le RGS distingue trois niveaux de sécurité pour téléservices administratifs : (1) RGS Basique — services à faible enjeu (consultation info publique non sensible, démarches administratives standard), ~30 mesures, audit léger ; (2) RGS Standard — services à enjeu modéré (gestion dossier individuel, démarche personnelle, paiement courant), ~80 mesures, audit PASSI architecture + configuration ; (3) RGS Renforcé — services à enjeu fort (santé, justice, défense, paiement haut montant, identité), ~150 mesures, audit PASSI complet + tests d'intrusion. Le RGS impose aussi : certificat de chiffrement RGS (eIDAS niveau qualifié pour signature et identification, distribué par PSCo qualifié), cachet électronique pour scellement, et horodatage RGS. Pour les téléservices interopérant avec FranceConnect / FranceConnect+ / AgentConnect : niveau standard minimum exigé.

8. LPM et OIV — homologation des SIIV

La Loi de Programmation Militaire (LPM, articles L1332-1 à L1332-7 du Code de la Défense) impose aux OIV (250 opérateurs désignés par décret confidentiel, 11 secteurs) d'identifier leurs SIIV (Systèmes d'Information d'Importance Vitale) et de les homologuer selon les règles de sécurité ANSSI dédiées (RS LPM). Les RS LPM, publiées par arrêtés sectoriels (énergie, transport, eau, télécom, finance, santé, défense, alimentation, eau, espace, transport), définissent ~25 règles techniques (cartographie, journalisation, détection, gestion crise, etc.). Audit obligatoire tous les 3 ans par PASSI qualifié. Sanctions LPM : amende administrative jusqu'à 150 000 € dirigeant + 1 M€ personne morale, voire poursuites pénales en cas de non-déclaration d'incident. Voir Conformité NIS2 opérateurs importance vitale secteur OT.

9. NIS2 et OSE — homologation 2.0

La directive NIS2 (UE 2022/2555) transposée en droit français fin 2024 par la loi relative à la résilience des activités d'importance vitale élargit considérablement le périmètre : ~10 000 entités françaises classées OIV/OIIV ou OSE/EE/EI (Entités Essentielles / Entités Importantes). Obligations clés : (1) inscription auprès de l'ANSSI via portail MonEspaceNIS2 ; (2) analyse de risques annuelle ; (3) mise en œuvre 10 mesures de l'article 21.2 (MFA, journalisation, gestion incidents, gestion vulnérabilités, chiffrement, etc.) ; (4) notification incident < 24h ; (5) audit cyber tous les 3 ans (PASSI pour OIV, qualifications équivalentes pour OSE). NIS2 ne nomme pas explicitement "homologation" mais l'analyse de risques + plan de traitement + décision dirigeant équivalent dans la pratique. Voir ANSSI ReCyF : NIS2 en pratique et Guide Inscription MonEspaceNIS2.

10. Durée, coût et structure d'une mission d'homologation

Une mission d'homologation accompagnée par un consultant externe représente : (1) SI simple (téléservice administratif niveau standard, 1 application, 1 base de données, 1 frontend) : 6-9 mois, charge interne 50-80 j×p, audit PASSI 12 000-20 000 € HT, accompagnement consultant 30 000-50 000 € HT ; (2) SI intermédiaire (application métier multi-services, 3-10 composants) : 9-12 mois, charge interne 100-150 j×p, audit PASSI 25 000-45 000 € HT, accompagnement 60 000-110 000 € HT ; (3) SI complexe OIV/OSE (chaîne SCADA, plateforme santé, télécom) : 12-18 mois, charge interne 200-400 j×p, audit PASSI complet 50 000-150 000 € HT, accompagnement 120 000-300 000 € HT. Conseils budgétaires : prévoir 20-30 % de buffer pour mesures correctives découvertes en audit, et un plan triannuel intégrant le renouvellement obligatoire.

11. Renouvellement et suivi

L'homologation est limitée dans le temps. Durées maximales standards : (1) 3 ans pour SI niveau standard ou renforcé ; (2) 1 à 2 ans pour SI haut niveau ou contexte évolutif ; (3) 1 an pour la première homologation d'un SI complexe (revue rapide pour ajuster). Renouvellement obligatoire avant échéance avec : nouvelle analyse de risques mise à jour, audit récent (< 12 mois), revue de la commission. Évolution majeure en cours de validité (changement architecture, migration cloud, fusion-acquisition, nouvelle technologie type IA) = re-homologation obligatoire sans attendre l'échéance. Suivi annuel formalisé : revue mesures résiduelles, indicateurs sécurité, journal des incidents et non-conformités, plan d'action.

12. Pièges fréquents

Sept pièges récurrents observés sur 12 missions 2024-2026 : (1) analyse de risques trop tardive — démarrer EBIOS RM après architecture figée fait perdre le levier de réduction par design ; (2) dossier rédigé par une seule personne — manque de relectures croisées, incohérences finales ; (3) commission d'homologation purement formelle — pas de discussion réelle, vote favorable sans contradiction = risque déchargé sur la signature seule, qualité dégradée ; (4) écart entre PSSI et réalité opérationnelle — PSSI ambitieuse mais mesures non déployées ; (5) oubli des sous-traitants — l'homologation couvre formellement les sous-traitants critiques (article 28 RGPD + analyse SLA) ; (6) plan de renouvellement inexistant — homologation expirée non détectée, redémarrage urgent en panique ; (7) audit PASSI trop ancien en pièce du dossier — refus du dossier si rapport > 12 mois.

Sources : ANSSI guide homologation v2 (2018) et v3 (révision en cours 2026) ; RGS (décret 2010-112 modifié) ; IGI 1300 (instruction interministérielle) ; LPM 2013 articles L1332 ; directive NIS2 UE 2022/2555 et loi française transposition 2024 ; ISO/IEC 27005:2022 ; EBIOS RM ANSSI v1.5.

13. Articulation avec NIS2, DORA et ISO 27001 — comprendre les obligations 2026

Le sujet du homologation anssi s'inscrit en 2026 dans un cadre réglementaire européen et français dense qui structure les obligations des organisations. Trois textes majeurs encadrent désormais la posture cyber. (1) Directive NIS2 (UE 2022/2555) transposée en droit français par la loi de novembre 2024 — élargit considérablement le périmètre par rapport à NIS1 : passage de ~300 à ~10 000 entités françaises classées soit Entités Essentielles (EE), soit Entités Importantes (EI). Les obligations centrales (article 21.2) incluent l'analyse de risques annuelle, la gestion des incidents avec notification ANSSI < 24h, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, la sécurité de l'acquisition/développement/maintenance, l'évaluation de l'efficacité, la formation cyber, les politiques cryptographie et contrôle d'accès, l'authentification multifacteur. Les pratiques liées à homologation ANSSI et le référentiel OIV/OSE touchent directement plusieurs de ces obligations. (2) Règlement DORA (UE 2022/2554) applicable depuis janvier 2025 — concerne les entités financières (banques, assurances, sociétés de gestion, fintechs). Cinq piliers : gestion des risques ICT, gestion des incidents, tests de résilience opérationnelle (TLPT triennal pour entités critiques), gestion des risques tiers ICT, échange d'informations. (3) ISO 27001:2022 — norme internationale du SMSI avec 10 clauses de management et 93 contrôles Annexe A organisés en 4 thèmes : organisationnel, personnel, physique, technologique. La certification ISO 27001 fournit un cadre robuste qui couvre l'essentiel des exigences NIS2 et DORA, avec mapping documenté. Voir ISO 27001:2022 Guide Complet Certification Expert et NIS2, DORA et RGPD : Cartographie des Exigences Croisées.

14. KPI et indicateurs de pilotage — mesurer l'efficacité

Au-delà de la mise en œuvre initiale, le pilotage des sujets relatifs au homologation anssi exige des indicateurs mesurables et révisés mensuellement ou trimestriellement. Cinq familles d'indicateurs structurent un tableau de bord cyber moderne 2026. (1) Couverture : pourcentage d'actifs couverts par la mesure (endpoints sous EDR, comptes en MFA, applications avec WAF, etc.) avec cible >= 95 % pour les mesures critiques. (2) Performance opérationnelle : MTTD (Mean Time To Detect) cible < 4h pour incident critique, MTTR (Mean Time To Respond) cible < 24h, taux de remédiation des vulnérabilités critiques dans le SLA (cible > 90 % patchés J+15 du Patch Tuesday). (3) Conformité : score d'audit interne ou externe (cible > 75/100), nombre de non-conformités majeures (cible 0 par trimestre), avancement plan d'action (cible > 80 % à 6 mois). (4) Maturité : score CMMI par domaine (Initial / Managed / Defined / Quantitatively Managed / Optimizing), évolution annuelle attendue +1 niveau par domaine prioritaire. (5) Risque résiduel : nombre de risques résiduels élevés non traités, valeur en € des risques résiduels selon analyse EBIOS RM, vraisemblance / gravité moyennes. Ces KPIs alimentent les revues de direction trimestrielles (ISO 27001 clause 9.3) et les rapports COMEX trimestriels. Voir Tableau de Bord KPI ISMS ISO 27004 : Excel.

15. Retour d'expérience terrain — 3 missions anonymisées

Trois cas concrets observés sur missions 2024-2026 illustrent les enjeux pratiques autour du homologation anssi. Cas A — ETI industrielle 1 800 postes multi-sites (anonymisée) : initiative de modernisation de la posture cyber lancée en 2024 à la demande du COMEX après tentative de ransomware (chiffrement partiel évité grâce à EDR). Périmètre : 5 sites France + 2 Allemagne, AD complexe avec 3 forêts, mix Windows/Linux/OT. Démarche : audit complet (12 jours), pentest externe + interne (15 jours), pentest applicatif sur 2 apps métier critiques (10 jours), plan d'action 18 mois. Investissement total accompagnement : 380 000 € HT sur 18 mois (audits + remédiation + formation). Résultats à 18 mois : score posture cyber passé de 48/100 à 84/100, certification ISO 27001 obtenue, posture NIS2 conforme, 0 incident critique post-remédiation. Cas B — PME services 220 salariés (anonymisée) : remplacement d'un ancien prestataire d'audit jugé trop superficiel, demande pour audit complet en première intention. Périmètre : 1 site principal + 3 antennes commerciales, M365 + AD basique, 1 application web SaaS interne. Démarche : audit cybersécurité PME 15 contrôles (8 jours), pentest externe léger (4 jours), accompagnement remédiation 60 jours. Investissement : 22 000 € HT total. Résultats : MFA déployée 100 %, EDR en place sur 100 %, sauvegardes 3-2-1 testées trimestriellement, conformité cyber-assurance obtenue avec réduction de prime 18 %. Cas C — Collectivité 8 000 agents (anonymisée) : préparation à homologation RGS renforcée d'une plateforme de téléservices avec 1,2 M usagers. Périmètre : portail web, back-office, base de données, intégrations multiples (FranceConnect, INSEE, ANTAI). Démarche : analyse EBIOS RM (3 mois), audit PASSI architecture + configuration + tests d'intrusion (6 semaines), constitution dossier d'homologation, commission, signature. Investissement : 145 000 € HT. Résultats : homologation niveau renforcé délivrée fin 2025, validité 3 ans avec revue annuelle, intégration smooth avec FranceConnect+, fréquentation usagers en croissance +27 %.

16. Erreurs fréquentes et bonnes pratiques 2026

Six erreurs récurrentes observées sur les sujets liés au homologation anssi en 2024-2026, et leurs contournements. Erreur 1 — démarrage sans cadrage : se lancer dans la mise en œuvre sans phase préalable d'analyse de contexte, d'inventaire et de cartographie. Conséquence : périmètre mal défini, budget dérapant, livrable inadapté. Bonne pratique : 5-10 % du temps total en cadrage, ateliers contradictoires avec parties prenantes, RACI clair. Erreur 2 — copier-coller des bonnes pratiques sans adaptation : appliquer une checklist générique sans contextualiser à la taille, secteur, contraintes de l'organisation. Conséquence : surinvestissement ou sous-investissement, démotivation équipe. Bonne pratique : référentiel proportionné au profil (CIS Implementation Group 1 pour PME, IG2 pour ETI, IG3 pour grands comptes). Erreur 3 — focus sur l'outil au détriment du processus : acheter une solution technique (EDR, SIEM, IAM) sans définir au préalable les processus opérationnels et les rôles. Conséquence : outil sous-exploité, alertes ignorées, ROI faible. Bonne pratique : processus avant outil, formation équipes, runbooks documentés. Erreur 4 — absence de plan post-projet : finaliser la mise en œuvre sans plan de continuité opérationnelle, de revue périodique, de mise à jour. Conséquence : dérive lente de la posture, retour à l'état initial en 12-24 mois. Bonne pratique : plan annuel de mise à jour, revue trimestrielle KPI, audit annuel externe. Erreur 5 — sous-estimation de la conduite du changement : déployer techniquement sans accompagner les utilisateurs et opérationnels. Conséquence : résistance, contournements (post-it mots de passe, désactivation MFA, etc.). Bonne pratique : 15-25 % du budget projet en communication, formation, support. Erreur 6 — pas d'évaluation indépendante : s'auto-évaluer sans regard externe critique. Conséquence : angle mort persistants, biais de confirmation. Bonne pratique : audit externe annuel par prestataire différent de l'intégrateur, alternance des auditeurs tous les 2-3 ans.

17. Écosystème des acteurs cyber français 2026

L'écosystème cyber français en 2026 comporte plusieurs catégories d'acteurs complémentaires à mobiliser selon les besoins liés au homologation anssi. (1) Cabinets de conseil cyber généralistes : Big 4 (Deloitte, EY, KPMG, PwC), Capgemini, Sopra Steria, Atos Eviden, Wavestone, Mazars, Beijaflore. Forces : couverture globale, références grands comptes, méthodologies normalisées. Limites : prix élevés, parfois trop pyramidal. (2) Cabinets cyber spécialisés : Synacktiv, Wallix, Stormshield Audit, Almond, Devoteam Cyber Trust, Wavestone Cybersecurity, Algosecure, Itrust, HarfangLab Services, et acteurs régionaux. Forces : expertise technique pointue, agilité, prix compétitifs. Limites : ressources limitées sur très gros projets. (3) Cabinets d'expertise pure-players souvent < 30 consultants, spécialisés (AD, cloud, OT, IA security) — typiquement ce que nous représentons. Forces : profondeur d'expertise, contact direct expert, flexibilité. Limites : capacité limitée projet très grande taille. (4) MSSP et MDR managés : Orange Cyberdefense, Thales Cyber Solutions, Atos Big Fish, Sopra Steria CyberSecurity Services. Forces : opérations 24/7, SLA, mutualisation. (5) Solutions software éditeurs : Wallix (PAM), Stormshield (UTM), Tehtris (XDR), HarfangLab (EDR), Datadog (observability), Snyk (DevSecOps). (6) Acteurs publics : ANSSI (autorité nationale), CERT-FR, Cybermalveillance.gouv.fr, France 2030 / Plan France Relance cyber, BPI France Diag Cyber, régions (BoosterCyber Île-de-France). (7) Communautés et écosystème : Clusif, Hexatrust, FIC (Forum International de la Cybersécurité, devenu InCyber Forum), Le Hack, BSides Paris, OSSIR, Cesin. Construire un écosystème de prestataires complémentaires plutôt que dépendre d'un acteur unique réduit le risque et améliore la couverture expertise.

FAQ

L'homologation ANSSI est-elle obligatoire pour une PME française ?

Pas pour les PME hors OIV/OSE/secteurs régulés. Obligatoire uniquement pour : OIV désignés par décret, OSE/OIIV au sens NIS2, entités publiques utilisant téléservices sous RGS, SI traitant information classifiée IGI 1300. Recommandée pour PME stratégiques (sous-traitants Défense/Espace, fintech régulée, e-santé, secteur énergie). Pour la majorité des PME, une démarche ISO 27001 ou un audit cyber annuel structuré équivalent.

Combien de temps faut-il pour une première homologation ?

Pour un SI moyenne complexité, comptez 9 à 12 mois calendaire. Découpage typique : analyse de risques EBIOS RM (2-3 mois), mise en œuvre mesures correctives (3-5 mois), audit PASSI (1-2 mois), constitution dossier + commission (1-2 mois), décision et formalisation (1 mois). Pour les OIV/OSE complexes (SCADA, plateforme santé) : 12-18 mois. Prévoir 20-30 % de buffer pour imprévus.

Qui signe l'attestation d'homologation ?

L'autorité d'emploi du SI, c'est-à-dire le dirigeant ultime responsable de son usage : président, directeur général, ministre, préfet, président d'EPCI. La signature est personnelle et ne peut pas être déléguée à un RSSI ou DSI. Elle engage juridiquement le signataire — d'où l'importance de la commission d'homologation collégiale qui éclaire la décision.

Quelle différence entre homologation ANSSI et certification ISO 27001 ?

L'homologation est un acte juridique français interne à l'organisme, attestant la maîtrise des risques sur un SI précis, signé par l'autorité d'emploi, durée 1-3 ans. La certification ISO 27001 est un acte de tiers (organisme certificateur accrédité), attestant la conformité d'un SMSI (Système de Management de la Sécurité de l'Information) au standard ISO 27001:2022, valable 3 ans avec audit annuel. Les deux sont complémentaires — une ISO 27001 alimente fortement le dossier d'homologation. Voir ISO 27001:2022 Guide Complet.

Faut-il un prestataire PASSI pour l'audit d'homologation ?

Obligatoire pour OIV (LPM), fortement recommandé pour OSE/OIIV (NIS2), recommandé pour entités publiques RGS niveau renforcé. Optionnel pour PME hors périmètre régulé : un prestataire d'audit cyber expérimenté hors-PASSI peut suffire. La qualification PASSI ANSSI distingue 4 portées : architecture, configuration, code, tests d'intrusion. Choisir un PASSI couvrant les portées pertinentes au périmètre.

Pour aller plus loin

• EBIOS RM 2026 : Guide Complet Méthode ANSSI
• Qualification PASSI ANSSI : Devenir Prestataire d'Audit
• NIS2 : Directive UE 2022/2555 Cybersécurité
• ISO 27001:2022 Guide Complet Certification Expert
• Guide Inscription MonEspaceNIS2 : Pas à Pas Portail ANSSI
• Notre service Conformité ANSSI / Homologation