Audit NIS2 vs PASSI : lequel choisir pour une PME en 2026 ?

Quand un dirigeant de PME se met à chercher un audit cybersécurité pour répondre à NIS2, il découvre rapidement qu’il existe deux mondes : les prestataires PASSI qualifiés ANSSI, et les prestataires non qualifiés qui proposent des audits NIS2 standards. Les premiers facturent généralement 8 000 à 25 000 €, parfois davantage ; les seconds tournent autour de 1 500 à 5 000 €. Faut-il payer plus pour un PASSI ? Dans 95% des cas que nous voyons, la réponse est non. Cet article explique pourquoi, en détaillant les différences réelles entre les deux types d’audits.

Qu’est-ce qu’un PASSI

Le PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) est une qualification délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Pour obtenir et conserver cette qualification, un prestataire doit répondre à un cahier des charges précis : compétences des auditeurs, méthodologie d’audit, processus internes, gestion de l’éthique, couverture assurance, etc.

L’objectif politique du PASSI est de garantir aux opérateurs critiques (OIV, OSE) qu’ils peuvent confier leur audit à un prestataire fiable, méthodologique, indépendant. C’est une qualification rigoureuse, qui demande des années de structuration : il y a environ 150 PASSI qualifiés en France, principalement des cabinets cyber moyens à grands.

Le PASSI couvre cinq grands domaines d’audit : audit d’architecture, audit de configuration, audit de code, tests d’intrusion, audit organisationnel et physique. Tous les PASSI ne couvrent pas les cinq.

Pour quelles obligations un PASSI est-il obligatoire ?

Voici un point que peu de prestataires abordent honnêtement : pour la grande majorité des entreprises, un PASSI n’est pas obligatoire.

Les obligations explicites de recourir à un PASSI concernent essentiellement :

• les OIV (opérateurs d’importance vitale) au titre de la loi de programmation militaire (LPM) — obligation d’audit PASSI LPM tous les 3 ans, plus d’autres obligations spécifiques,
• certains OSE désignés au titre de NIS1 dans des secteurs particulièrement critiques,
• les systèmes d’information sensibles d’administrations publiques (le référentiel SecNumCloud impose des audits par PASSI),
• certains marchés publics spécifiques où le donneur d’ordre l’exige explicitement.

En revanche, NIS2 n’impose pas le recours à un PASSI dans le texte de la directive. Les états membres ont la latitude d’imposer ou non cette qualification dans leur transposition nationale. La transposition française n’impose pas le PASSI obligatoire pour les entités essentielles ou importantes au-delà des cas déjà visés par la LPM ou par des sectoriels spécifiques.

Concrètement, pour 95% des PME concernées par NIS2, un audit NIS2 standard suffit pour démontrer la conformité, répondre aux questionnaires fournisseurs et faire face à un contrôle ANSSI.

Les différences réelles entre un audit NIS2 standard et un audit PASSI

Au-delà du label, voici les différences concrètes qu’on observe.

Tarif : audit NIS2 standard de 1 500 à 5 000 € pour une PME ; audit PASSI à partir de 8 000-12 000 € pour la même structure, jusqu’à 25 000 € avec tests d’intrusion. La différence reflète le coût de la structuration PASSI (qualification, audit annuel par l’ANSSI, couverture assurance, profils plus seniors) plus que le contenu effectif délivré.

Contenu : l’audit NIS2 standard couvre les dix mesures de l’article 21 avec une approche de revue documentaire, d’entretiens et de tests de configuration. L’audit PASSI ajoute généralement des tests d’intrusion (qui ne sont pas obligatoires au sens NIS2) et une plus grande profondeur sur certains domaines (audit de code, audit d’architecture).

Méthodologie : les PASSI suivent une méthodologie ANSSI documentée, avec des livrables types. Les prestataires non qualifiés peuvent suivre des méthodologies issues d’ISO 27001, NIST CSF, ou des référentiels propriétaires. Pour NIS2, ce qui compte est la couverture des dix mesures plus que le label méthodologique.

Valeur opposable : un rapport PASSI a une valeur plus forte auprès de certaines administrations, des assureurs cyber et de quelques grands donneurs d’ordre régulés. Pour la majorité des questionnaires fournisseurs NIS2, un rapport non PASSI suffit s’il est structuré, daté et reprend explicitement les dix mesures de l’article 21.

Délai : audit NIS2 standard livrable en 7 à 10 jours ouvrés ; audit PASSI complet livrable en 6 à 12 semaines. La différence est cruciale quand on approche de la deadline du 17 octobre 2026.

Profils : les auditeurs PASSI ont généralement 5+ ans d’expérience cyber, des certifications (CISSP, OSCP, etc.) et des dossiers d’audit antérieurs significatifs. Les prestataires non qualifiés ont des profils plus variables, mais peuvent être tout aussi compétents pour une mission NIS2 calibrée TPE/PME.

Les bonnes raisons de prendre un PASSI

Soyons honnêtes : il y a des situations où le PASSI est le bon choix.

Vous êtes une entité essentielle dans un secteur très exposé (énergie critique, santé OSE, finance) avec un risque réel d’audit ANSSI dans les deux ans : la qualification du prestataire crédibilise votre démarche.

Vous avez besoin de tests d’intrusion sur vos systèmes critiques : peu de prestataires non qualifiés ont les profils pour le faire correctement.

Votre donneur d’ordre l’exige explicitement dans son cahier des charges : pas le choix, il faut suivre.

Vous avez un projet de certification SecNumCloud, ISO 27001 ou HDS dans les 12-18 mois : le PASSI s’inscrit dans une démarche plus large qui justifie l’investissement.

Vous avez un budget cyber significatif (50 k€+ par an) et la sécurité est un argument commercial majeur dans votre offre : l’image PASSI peut être différenciante.

Les bonnes raisons de prendre un audit NIS2 standard

À l’inverse, voici les situations très majoritaires où l’audit NIS2 standard est le bon choix.

Vous êtes une PME de 5 à 50 personnes confrontée à NIS2 par effet chaîne d’approvisionnement (sous-traitant d’un OSE, fournisseur numérique, e-commerce moyen, agroalimentaire). Le budget PASSI n’est pas justifié.

Vous avez besoin d’un livrable rapide pour répondre à un questionnaire fournisseur : 7-10 jours vs 6-12 semaines.

Votre niveau initial est moyen (pas de RSSI, pas de politique formalisée, MFA partiellement déployée) : un PASSI vous facturera principalement la rédaction de politiques et la mise en place de contrôles, ce qui peut se faire à un coût bien moindre avec un prestataire NIS2 standard plus pédagogue.

Vous voulez une approche pédagogique plutôt qu’un audit purement « passe ou échoue ». La plupart des PASSI ne sont pas formés à la posture d’accompagnement et limitent leurs livrables à un constat.

Vous payez sur fonds propres sans subvention significative : 1 500 € vs 12 000 €, c’est un facteur 8.

Comparaison à budget équivalent

Voici un autre angle souvent oublié : à budget identique, qu’est-ce qui apporte le plus de valeur ?

À 5 000 €, vous pouvez choisir entre :

• un audit PASSI partiel (revue documentaire seulement, sans tests techniques) ;
• un audit NIS2 complet (1 500 €) + 3 mois d’accompagnement à la mise en conformité (2 500 €) chez nous + maintenance 1 an (1 200 €), soit 5 200 €.

Dans le second cas, vous arrivez à la deadline du 17 octobre 2026 avec un dispositif opérationnel, pas seulement un rapport d’audit. Pour une PME sans RSSI, c’est généralement plus utile.

Notre positionnement

Notre offre est calibrée explicitement pour les PME de 5 à 50 personnes confrontées à NIS2 par chaîne d’approvisionnement ou par secteur. Nous ne sommes pas qualifiés PASSI, et nous l’assumons : aller chercher la qualification implique une structure (3-5 auditeurs minimum, processus formalisés, audit annuel par l’ANSSI) qui se traduit mécaniquement par des tarifs supérieurs.

En contrepartie, nous proposons :

• un délai très court (48h pour le pré-audit, 7-10 jours pour l’audit complet),
• un tarif accessible (299 € à 2 500 €),
• une approche pédagogique adaptée aux structures sans RSSI interne,
• des livrables exploitables : matrice de conformité opposable au donneur d’ordre, plan de remédiation chiffré, modèles de politiques fournis avec l’offre accompagnement.

Pour les entités essentielles très exposées, nous orientons explicitement vers nos partenaires PASSI lorsque c’est plus pertinent.

Comment choisir : décision en 4 questions

Voici un raccourci utile.

1. Est-ce qu’un texte légal ou contractuel m’impose le PASSI ? Si oui, PASSI obligatoire.
2. Suis-je une entité essentielle dans un secteur très exposé (énergie critique, santé OSE, finance critique) ? Si oui, PASSI fortement recommandé.
3. Ai-je besoin de tests d’intrusion sur mes systèmes critiques ? Si oui, PASSI ou prestataire spécialisé pentest.
4. Sinon, ai-je besoin d’un audit pour répondre à des questionnaires fournisseurs et démontrer ma démarche NIS2 ? Si oui, audit NIS2 standard.

Pour 95% des PME que nous accompagnons, c’est la question 4 qui s’applique.

Conclusion

Le PASSI est une excellente qualification pour les acteurs critiques qui en ont besoin. Pour une PME confrontée à NIS2 par effet de chaîne d’approvisionnement ou par appartenance à un secteur listé sans criticité élevée, payer plus de 1 500-2 500 € pour un audit NIS2 standard apporte rarement un retour proportionné. La meilleure stratégie consiste à orienter le budget vers ce qui produit de la valeur opérationnelle : audit + accompagnement + maintenance, plutôt que vers le label seul.

Pour aller plus loin : notre pré-audit NIS2 à 299 € pour démarrer, l’audit NIS2 complet à 1 500 € avec rapport opposable, ou directement la formule audit + accompagnement à 2 500 € pour les structures sans RSSI.