PAS Informatique : Guide Complet du Plan d'Assurance Sécurité en 2026
Théophane Villedieu
Définition : Qu’est-ce qu’un PAS Informatique ?
Un Plan d’Assurance Sécurité (PAS) est un document contractuel et technique qui formalise les engagements d’un prestataire en matière de cybersécurité. Il décrit l’ensemble des mesures mises en œuvre pour protéger le système d’information et les données traitées pour le compte d’un donneur d’ordres.
Pourquoi le PAS est-il indispensable ?
- Obligation légale : Les articles 34 et 35 de la loi Informatique et Libertés imposent au responsable de traitement et à son sous-traitant de garantir la sécurité des données personnelles.
- Exigence contractuelle : Le RGPD instaure une coresponsabilité entre le client et son prestataire pour la protection des données.
- Différenciation concurrentielle : En période de multiplication des cyberattaques (+51% en France depuis 2020), le PAS rassure les prospects et facilite la comparaison lors des appels d’offres.
Le PAS s’inscrit dans une démarche plus large de Politique de Sécurité des Systèmes d’Information (PSSI). Il en constitue la version anonymisée et orientée fournisseurs destinée aux tiers.
PAS vs PSSI : Quelle différence ?
| Critère | PSSI | PAS |
|---|---|---|
| Public | Interne à l’organisation | Externe (clients, donneurs d’ordres) |
| Niveau de détail | Complet et confidentiel | Anonymisé, adapté à la communication |
| Objectif | Gouvernance interne | Engagement contractuel |
| Obligation | Recommandée (ISO 27001) | Souvent requise dans les appels d’offres |
Le PAS reprend les principes de la PSSI mais les adapte pour être communiqué sans exposer les vulnérabilités internes de l’entreprise.
Contenu du PAS : Table des Matières Complète
Un PAS structuré comprend les sections suivantes :
1. Présentation du document
- Objet et périmètre
- Glossaire et définitions
- Documents de référence (normes ISO, réglementations)
2. Description de la prestation
- Description technique du service
- Architecture du système d’information
- Localisation des données et des traitements
3. Sécurité des ressources humaines
- Processus de recrutement et screening
- Gestion des arrivées et départs
- Formation et sensibilisation à la sécurité
4. Gestion des actifs
- Cartographie des actifs informationnels
- Classification des actifs selon leur criticité
- Mesures de protection des informations
5. Gestion des accès logiques
- Politique de droits d’accès
- Gestion des habilitations
- Contrôle d’accès et traçabilité
- Gestion des sessions inactives
6. Gestion des identifiants
- Politique de gestion des mots de passe
- Gestion des certificats électroniques
- Authentification multi-facteurs
7. Sécurité physique
- Contrôle d’accès physique aux locaux
- Protection des zones sensibles
- Traçabilité des accès physiques
8. Sécurité de l’exploitation
- Durcissement des ressources informatiques
- Procédures de sauvegardes et restauration
- Gestion des correctifs de sécurité
- Lutte contre les codes malveillants
- Documentation des ressources
La multiplication des ransomwares ciblant les panneaux d’administration (protéger vos serveurs contre les ransomwares de type Sorry) illustre l’importance de maintenir à jour l’ensemble des interfaces d’administration et de durcir leur configuration.
9. Sécurité des communications
- Politique de sécurité des transmissions
- Sécurisation des accès à distance
- Accès au réseau depuis équipements non maîtrisés
10. Sécurité des développements
- Règles de développement sécurisé
- Cloisonnement des environnements
- Gestion des données d’essai
11. Gestion des incidents
- Dispositif de détection et réponse
- Protocoles de gestion de crise
- Journalisation et analyse post-incident
Une prise de contrôle totale via Nginx UI illustre la gravité des compromissions silencieuses et l’importance d’un dispositif de détection des anomalies d’administration sur les interfaces web internes.
12. Continuité d’activité
- Plan de continuité (PCA/PRA)
- Protection des sauvegardes
- Tests de résilience
13. Conformité et contrôle
- Audits de conformité récurrents
- Reporting SSI
- Procédures d’évolution du PAS
PAS et Réglementations : Le Cadre Juridique
RGPD et Articles 32-34
Le Règlement Général sur la Protection des Données impose aux sous-traitants de mettre en œuvre des mesures techniques et organisationiques appropriées pour garantir un niveau de sécurité adapté au risque (article 32). Le PAS constitue une preuve tangible de cette conformité.
NIS2 : Nouvelles Obligations
La directive NIS2, transposée en droit français fin 2024, renforce les obligations de cybersécurité pour les entités critiques. Le PAS devient un outil de preuve de la diligence raisonnable envers ses partenaires et sous-traitants. Les vulnérabilités critiques des panneaux d’administration cPanel rappellent que la supply chain logicielle constitue un vecteur d’attaque privilégié qu’il convient d’évaluer systématiquement.
DORA : Secteur Financier
Pour les entités financières, le Règlement DORA impose une évaluation rigoureuse des risques liés aux prestataires tiers. Le PAS répond à ces exigences de Tier Risk Management.
Référentiels ISO
Les normes ISO 27001 et ISO 27002 constituent le langage universel de la sécurité informatique. Un PAS aligné sur ces référentiels facilite la comparaison entre prestataires et renforce la crédibilité des engagements.
| Réglementation | Secteur concerné | Impact sur le PAS |
|---|---|---|
| RGPD | Tous | Preuve conformité article 32 |
| NIS2 | Entités critiques | Diligence raisonnable supply chain |
| DORA | Finance | Évaluation risques prestataires |
| ISO 27001 | Universel | Référentiel de bonnes pratiques |
PAS dans les Appels d’Offres Publics
CCAG-TIC 2021
L’article 4 du CCAG-TIC 2021 prévoit que le Plan d’Assurance Sécurité peut faire partie des annexes à l’offre technique, au même titre que le plan d’assurance qualité ou le plan de prévention des risques.
Cahier des Clauses Simplifiées de Cybersécurité (CCSC)
Pour les marchés ayant un objet principal numérique, le CCSC peut être complété par un PAS fourni par les candidats. Le CCSC encadre le contenu minimal du PAS.
Quand Fournir le PAS ?
| Phase | Action requise |
|---|---|
| Appel d’offres | Définir les exigences PAS dans le CCP |
| Consultation | Exiger le PAS en pièce jointe de la réponse |
| Attribution | Annexer le PAS au contrat |
| Exécution | Mettre à jour le PAS selon les évolutions |
Conseil : Un PAS générique copié-collé est immédiatement identifié par les équipes achats. Le document doit refléter le dispositif réel du prestataire.
Comment Élaborer un PAS Efficace ?
Étape 1 : Collecte de l’existant
- Inventaire des actifs (serveurs, bases de données, applications)
- Analyse des risques existants
- Revue des politiques de sécurité en vigueur
Étape 2 : Définition des exigences
- Concertations avec RSSI, DPO et directions métier
- Identification des exigences spécifiques du donneur d’ordres
- Définition des contrôles de conformité
Étape 3 : Rédaction
- Trouver l’équilibre entre transparence et confidentialité
- Éviter les formulations génériques non vérifiables
- Documenter les preuves de conformité
Étape 4 : Validation
- Validation par le responsable sécurité
- Revue juridique
- Validation externe si nécessaire
Étape 5 : Maintenance
- Plan de mise à jour régulier (annuel minimum)
- Intégration des incidents et évolutions réglementaires
- Relance automatique des revues de conformité
Délai moyen : 2 à 4 semaines selon la complexité du service et la réactivité du fournisseur.
Outils pour Digitaliser vos PAS
La gestion manuelle des PAS devient ingérable pour les organisations avec un portefeuille fournisseurs étendu. Des solutions SaaS permettent de :
- Standardiser les demandes de PAS à tous les fournisseurs
- Automatiser la collecte d’informations et la production de documents
- Suivre l’évolution des conformités dans le temps
- Générer des rapports adaptés à chaque contexte (management, audits, régulateurs)
- Centraliser l’ensemble des PAS de manière sécurisée
FAQ : Questions Fréquentes sur le PAS
Le PAS est-il obligatoire ?
Non, mais il devient la norme pour prouver votre diligence raisonnable vis-à-vis de tiers critiques. Les grands comptes et organismes publics l’exigent systématiquement dans leurs appels d’offres.
Quelle différence entre PAS et ISO 27001 ?
ISO 27001 est une certification qui atteste de la maturité de votre SMSI. Le PAS est un document contractuel qui engage votre organisation sur des mesures spécifiques. Les deux sont complémentaires et demandés conjointement par les donneurs d’ordres exigeants.
Comment maintenir le PAS à jour ?
Prévoyez une revue annuelle minimum et une mise à jour à chaque incident significatif, changement réglementaire ou modification majeure de l’architecture. Les outils SaaS permettent d’automatiser ces relances.
Le PAS doit-il être confidentiel ?
Oui, le PAS est généralement transmis sous NDA. Il contient des informations sensibles sur vos mesures de sécurité et ne doit pas être communiqué publiquement. TRouvez le juste équilibre entre transparence client et protection des informations critiques.
Qui doit participer à l’élaboration du PAS côté fournisseur ?
Généralement : le responsable cybersécurité (RSSI), l’équipe IT technique, et le service juridique. Le service Achats coordonne la démarche côté donneur d’ordres.
Conclusion
Le Plan d’Assurance Sécurité est bien plus qu’un document contractuel : c’est un outil stratégique de communication et de conformité. Dans un contexte où les cyberattaques ciblent de plus en plus les chaînes d’approvisionnement, le PAS permet de :
- Réduire les risques liés à l’externalisation et aux prestataires
- Assurer la conformité aux réglementations (RGPD, NIS2, DORA)
- Renforcer la confiance avec vos clients et partenaires
- Différencier votre offre face à la concurrence
Que vous soyez prestataire de services informatiques ou donneur d’ordres, investir dans l’élaboration et le suivi régulier d’un PAS représente un avantage compétitif majeur en 2026.