PAS Informatique : Guide Complet du Plan d'Assurance Sécurité (2026)
Célestine Rochefour
Un Plan d’Assurance Sécurité (PAS) est un document contractuel essentiel qui formalise les engagements d’un prestataire en matière de cybersécurité. Découvrez comment l’élaborer, son contenu et ses liens avec la PSSI et ISO 27001.
Définition : Qu’est-ce qu’un PAS en sécurité informatique ?
Le Plan d’Assurance Sécurité (PAS) est un document à la fois juridique et technique qui détaille l’ensemble des mesures de cybersécurité qu’un prestataire met en œuvre pour protéger son système d’information et les données qui y transitent.
BLUF : Le PAS est une annexe contractuelle qui convertit les exigences de sécurité du donneur d’ordre en engagements vérifiables. Il s’inscrit dans une démarche de gouvernance de la sécurité des systèmes d’information (PSSI) et répond aux obligations légales (RGPD, loi Informatique et Libertés).
Pourquoi le PAS est-il devenu indispensable ?
Les chiffres parlent d’eux-mêmes :
| Indicateur | Valeur |
|---|---|
| Organisations françaises ciblées par une cyberattaque en 2020 | 91% |
| Augmentation des pertes financières liées aux cyberattaques (2019-2020) | +39% |
| Pertes financières estimées en France (2020) | 1,6 milliard € |
| Augmentation des cyberattaques en France (2015) | +51% (21 attaques/jour) |
| Coût moyen par attaque pour une entreprise française | 3,7 millions € |
Le PAS est désormais systématiquement demandé dans les appels d’offres impliquant l’externalisation de données ou de services informatiques. Il facilite la comparaison entre prestataires et constitue une preuve de diligence raisonnable face aux régulateurs.
PAS vs PSSI : comprendre la différence
| Aspect | PSSI | PAS |
|---|---|---|
| Nature | Document interne stratégique | Document contractuel externe |
| Public | Direction, équipes internes | Donneurs d’ordre, clients, prospects |
| Objectif | Fixer la politique de sécurité globale | Prouver la conformité aux exigences d’un marché |
| Anonymisation | Non (document interne) | Oui (version épurée pour tiers) |
| Horizon | Vision à moyen/long terme | Engagements spécifiques à un contrat |
À retenir : La PSSI fixe le cadre ; le PAS démontre comment vous y conformez pour un contexte précis. Le PAS doit refléter votre dispositif réel, pas un copier-coller générique. Les équipes sécurité des grands comptes croisent systématiquement les engagements PAS avec les certifications affichées (ISO 27001, SOC 2). Une incohérence est éliminatoire.
Contenu obligatoire d’un PAS : la structure type
Un PAS efficace doit couvrir l’ensemble des domaines ci-dessous :
1. Présentation et contexte
- Objet du document
- Périmètre de la prestation
- Glossaire et définitions
- Documents de référence (normes, réglementations)
2. Sécurité des ressources humaines
- Processus de recrutement et screening
- Gestion des arrivées et départs
- Sensibilisation et formation à la sécurité
- Clauses de confidentialité
📖 À consulter : Le phishing alimenté par l’IA représente aujourd’hui la menace la plus sophistiquée pour les organisations.
3. Gestion des actifs et classification
- Cartographie des actifs informationnels
- Classification selon le niveau de sensibilité -cycle de vie des actifs (acquisition, utilisation, mise au rebut)
4. Gestion des accès logiques
| Domaine | Éléments à documenter |
|---|---|
| Authentification | Politique de mots de passe, MFA, gestion des certificats |
| Autorisation | Principe du moindre privilège, revue périodique des habilitations |
| Traçabilité | Logs d’accès, correlation des événements, rétention |
| Sessions | Délais d’inactivité, déconnexion automatique |
5. Sécurité physique
- Contrôle d’accès aux locaux (badges, biométrie)
- Zones sécurisée (salle serveur, backs up)
- Surveillance et détection d’intrusion physique
- Procédures de gestion des visiteurs
6. Sécurité de l’exploitation
- Durcissement des serveurs et équipements (hardening)
- Gestion des correctifs (patch management)
- Sauvegardes et restore testing
- Protection contre les codes malveillants
- Documentation des ressources et configurations
📖 Pour aller plus loin : Découvrez l’analyse des vulnérabilités des panneaux de contrôle web et leurs implications pour votre posture de sécurité.
7. Sécurité des communications
- Politiques de filtrage réseau (pare-feu, WAF)
- Sécurisation des transmissions (chiffrement TLS, VPN)
- Accès à distance (RDP, SSH restreint)
- Segmentation réseau et cloisonnement
8. Sécurité des développements
- Méthodologie de développement sécurisé (SDL)
- Gestion des secrets (vault, rotation)
- Review code et analyse statique
- Gestion des dépendances et vulnérabilités connues
9. Gestion des incidents et continuité
| Phase | Engagements à fournir |
|---|---|
| Détection | Surveillance 24/7, SIEM, EDR, seuils d’alerte |
| Réponse | Procédure d’escalade, délais de première réponse (< 4h) |
| Communication | Notification client selon RGPD (72h maximum) |
| Post-incident | Analyse de cause racine, plan d’amélioration |
| PCA/PRA | Objectifs RTO/RPO, tests annuels documentés |
📖 En savoir plus : Consultez notre analyse des ransomwares ciblant les serveurs pour renforcer votre stratégie de défense.
10. Relation avec les tiers
- Sous-traitants et co-traitants (clause RGPD article 28)
- Clauses de sécurité dans les contrats
- Évaluation de la sécurité des fournisseurs critiques
11. Contrôle et évaluation
- Audits internes et externes (fréquence, périmètre)
- Tests de pénétration
- Reporting RSSI et gouvernanc
PAS et marchés publics : ce qu’il faut savoir
Cadre réglementaire
Le PAS est explicitement prévu dans le CCAG-TIC 2021 (article 4 relatif aux pièces contractuelles), au même titre que le plan d’assurance qualité et le plan de prévention des risques. L’ANSSI recommande de demander le PAS dans l’appel d’offres pour les marchés ayant un objet principal numérique.
Timing critique
| Moment | Action requise |
|---|---|
| Appel d’offres | Exiger le PAS comme pièce jointe |
| Réponse à RFP | Joindre le PAS avec la proposition technique |
| Attribution | Le PAS devient annexe au contrat |
| Exécution | Engagements contractuels substituables aux clauses génériques |
⚠️ Erreur fatale : Un PAS générique copié-collé d’une réponse précédente est repéré immédiatement par les équipes achats. Le timing est crucial : le PAS s’envoie avec la réponse initiale, jamais en phase de négociation. Une demande tardive de PAS détaillé signale généralement une élimination pour cause de PAS générique en première lecture.
PAS et ISO 27001 : compatibilité et complémentarité
| Critère | ISO 27001 | PAS |
|---|---|---|
| Nature | Certification (audit tiers) | Engagement contractuel déclaratif |
| Portée | SMSI global de l’organisation | Mesures spécifiques au marché |
| Preuve | Attestation de certification | Document auto-déclaré |
| Validité | 3 ans (surveillance annuelle) | Durée du contrat |
Pour les ETI/PME : Un PAS détaillé peut crédibiliser une réponse en attendant la certification ISO 27001 (cycle de 12-18 mois). Annoncer une roadmap ISO 27001 dans le PAS rassure les équipes achats sans bloquer la signature.
Pour les grands comptes : ISO 27001 atteste de la maturité de votre SMSI ; le PAS contractualise les mesures spécifiques au marché concerné. Les deux sont complémentaires : ISO 27001 sans PAS reste insuffisant pour les marchés impliquant des données sensibles.
Comment élaborer un PAS en 5 étapes
Étape 1 : Collecte de l’existant (1-2 semaines)
- Inventaire des actifs (serveurs, bases de données, applications critiques)
- Analyse des risques existants (EBIOS, MEHARI)
- Revue des politiques de sécurité en vigueur
- Cartographie des flux de données
Étape 2 : Définition des exigences (1 semaine)
- Identifier les exigences réglementaires applicables
- Recenser les attentes du donneur d’ordre
- Déterminer les objectifs de sécurité (confidentialité, intégrité, disponibilité)
- Hiérarchiser les mesures selon le niveau de risque
Étape 3 : Rédaction (2-3 semaines)
- Trouver l’équilibre transparence/confidentialité
- Éviter les formulations génériques non vérifiables
- Documenter les preuves de mise en œuvre
- Prévoir les indicateurs de suivi
Étape 4 : Validation (1 semaine)
- Revue par le RSSI et le DPO
- Validation juridique (niveau contractuel)
- Validation par la direction
- Négociation finale avec le donneur d’ordre
Étape 5 : Suivi et mise à jour (permanent)
- Plan de revue annuelle
- Intégration des incidents et évolutions réglementaires
- Renouvellement en cas de changement de périmètre
Durée totale estimée : 6 à 8 semaines selon la complexité du service et la réactivité des parties prenantes.
FAQ : Questions fréquentes sur le PAS
Le PAS est-il obligatoire ? Non, mais il devient la norme pour prouver votre diligence raisonnable vis-à-vis de tiers critiques et répondre aux exigences croissantes des régulateurs (CNIL, ANSSI) et des assureurs.
Qui doit participer côté fournisseur ? Généralement, le responsable cybersécurité, l’équipe IT et le service juridique participent, tandis que le service Achats coordonne la démarche.
Comment maintenir le PAS à jour ? Prévoir une clause de revue annuelle et un processus de mise à jour en cas de changement de périmètre, d’incident majeur ou d’évolution réglementaire (NIS2, DORA).
Quelle différence entre PAS et questionnaire de sécurité ? Le PAS est un document contractuel主动性 ; le questionnaire permet au donneur d’ordre d’évaluer les écarts entre le déclaratif et la réalité. Les deux sont complémentaires.
Le PAS remplace-t-il la certification ISO 27001 ? Non. Pour les marchés impliquant des données sensibles (santé, finance, secteur public), ISO 27001 crédibilise le PAS. Les grands comptes (banque, assurance, santé) exigent souvent les deux.
Conclusion
Le Plan d’Assurance Sécurité est un outil stratégique qui allie communication, conformité et performance opérationnelle. Il permet de :
- Répondre aux exigences des appels d’offres et faciliter la comparaison avec les concurrents
- Prouver votre diligence raisonnable face aux régulateurs (CNIL, ANSSI) et aux assureurs
- Instaurer une culture de sécurité au sein de votre organisation
- Renforcer la confiance avec vos clients et partenaires
Face à la complexification des chaînes d’approvisionnement et à l’intensification des cybermenaces, investir dans l’élaboration et la mise à jour régulière d’un PAS devient un impératif stratégique pour toute organisation souhaitant sécuriser ses relations avec ses prestataires et sous-traitants.