PAS Informatique : Guide Complet du Plan d'Assurance Sécurité en 2026
Aurélien Fontevive
Qu’est-ce qu’un Plan d’Assurance Sécurité (PAS) ?
Un Plan d’Assurance Sécurité (PAS) est un document contractuel et technique qui formalise les engagements d’un prestataire en matière de cybersécurité. Il détaille l’ensemble des mesures mises en œuvre pour protéger le système d’information (SI) et les données manipulées dans le cadre d’une prestation.
Pourquoi ça compte en 2026 : Avec +67% de cyberattaques ciblant la supply chain depuis 2023, le PAS est devenu un critère éliminatoire dans les appels d’offres des ETI, grands comptes et administrations. Ne pas en produire un稳健 signifie exclure systématiquement ces marchés.
PAS vs PSSI : définitions croisées
| Concept | Nature | Portée |
|---|---|---|
| PSSI (Politique de Sécurité des Systèmes d’Information) | Document stratégique interne | Niveau organisationnel global |
| PAS (Plan d’Assurance Sécurité) | Document contractuel externe | Niveau prestation/fournisseur spécifique |
La PSSI fixe le cadre ; le PAS en extrait les engagements applicables au contrat concerné. Les deux documents sont complémentaires mais ne se substituent pas l’un à l’autre.
Les objectifs stratégiques du PAS
Pour le prestataire (fournisseur)
- Répondre aux exigences d’appels d’offres : le PAS est systématiquement demandé par les donneurs d’ordres lors des consultations
- Différencier son offre : un PAS détaillé crédibilise face aux certifications ISO 27001 encore en cours
- Protéger contractuallement : une fois signé, le PAS prime sur les clauses génériques de sécurité
Pour le donneur d’ordres (client)
- Évaluer objectivement : le PAS permet de comparer les prestataires sur des critères mesurables
- Engager juridiquement : le PAS crée une obligation de moyens vérifiable
- Couvrir sa responsabilité : démontrer la diligence raisonnable (RGPD article 32)
Statistiques clés 2024-2025
| Indicateur | Valeur | Source |
|---|---|---|
| Cyberattaques en France (2024) | +67% vs 2023 | ANSSI |
| Pertes financières moyennes par incident | 4,2 M€ | Cybermalveillance.gouv.fr |
| Entreprises ayant subi une attaque via un prestataire | 58% | Baromètre CESIN 2024 |
| ETI protégées contre les risques cyber | 8% seulement | Rapport Senateur 2024 |
Contenu minimal d’un PAS : table des matières type
Un PAS complet doit couvrir les domaines suivants :
1. Présentation et contexte
- Objet du document
- Périmètre de la prestation
- Glossaire et définitions
- Documents de référence (normes, réglementations)
2. Organisation de la sécurité
- Responsabilités SSI
- Organisation des processus sécurité
- Procédures d’évolution du PAS
3. Sécurité des ressources humaines
- Recrutement et背景-check
- Gestion des arrivées/départs
- Sensibilisation et formation continue
- Clauses de confidentialité
4. Gestion des actifs信息
- Cartographie des actifs (serveurs, applications, données)
- Classification des informations
- Cycle de vie des actifs
5. Gestion des accès logiques
| Domaine | Exigences minimales |
|---|---|
| Authentification | MFA, politique mots de passe robuste |
| Habilitations | Principe du moindre privilège |
| Traçabilité | Journalisation des accès sensibles |
| Sessions | Délai d’inactivité < 15 min |
6. Sécurité physique
- Contrôle d’accès aux locaux (badges, vigiles)
- Zones sécurisée (serveurs, backup)
- Traçabilité des accès physiques
7. Sécurité de l’exploitation
- Durcissement des systèmes (hardening)
- Gestion des correctifs (patch management)
- Sauvegardes et restauration (3-2-1)
- Lutte contre les vulnérabilités critiques
- Documentation des ressources
8. Sécurité des communications
- Politique de sécurité des transmissions
- Accès à distance (VPN, ZTNA)
- Segmentation réseau
9. Sécurité des développements
- Méthodologie de développement sécurisé (SDL)
- Gestion des vulnérabilités applicatives (voir aussi : failles critiques cPanel exploitées par ransomware)
- Environnement de test vs production
10. Gestion des incidents et continuité
- Procédure de détection et notification
- Délai de résolution : critique < 4h, majeur < 24h
- Plan de continuité d’activité (PCA/PRA)
- Tests réguliers
11. Gestion avec les tiers
- Évaluation des sous-traitants
- Clauses de sécurité dans les contrats
- Audit des tiers critiques
12. Contrôle et évaluation
- Audits internes et externes
- ReportingSSI régulier
- Plan d’amélioration continue
PAS et cadre réglementaire : ce qu’il faut maîtriser
RGPD (Règlement Général sur la Protection des Données)
Le PAS répond aux obligations de l’article 32 RGPD qui impose la mise en œuvre de mesures techniques et organisationnelles appropriées. Pour les sous-traitants au sens du RGPD, le PAS est quasi-indispensable pour démontrer la conformité.
Directive NIS2 (entrée en application nationale prévue fin 2025)
| Obligation | Impact sur le PAS |
|---|---|
| Gestion des risques supply chain | Le PAS devient un outil d’évaluation des prestataires |
| Notification d’incidents (24h puis 72h) | Doit être détaillé dans le PAS |
| Registre des incidents | À intégrer dans les procédures |
Directive DORA (secteur financier, applicable depuis janvier 2025)
Pour les entités financières et leurs prestataires ICT, le PAS doit intégrer les exigences spécifiques de résilience opérationnelle : tests de continuité, reporting, gestion des risques ICT tierces parties.
ISO 27001 : articulation avec le PAS
| Aspect | ISO 27001 | PAS |
|---|---|---|
| Nature | Certification tierce | Document contractuel |
| Périmètre | SMSI global | Prestation spécifique |
| Validité | 3 ans (audit cycle) | Durée du contrat |
| Crédibilité | Élevée | Variable (selon contenu) |
Recommandation : Un PAS sans ISO 27001 peut suffire pour les PME/ETI en attendant la certification. Pour les grands comptes, anticipez la certification avec une roadmap disclosed dans le PAS.
PAS dans les appels d’offres : timing et erreurs fatales
Timing dans le processus
- Appel d’offres publié → Identifier les exigences PAS dans le cahier des charges
- Réponse initiale → Joindre le PAS avec le dossier de candidature (jamais en négociation)
- Évaluation → Le PAS est analysé en première passe ; un PAS générique élimine d’office
- Contractualisation → Le PAS est annexé au contrat
Erreurs éliminatoires observées
- PAS copié-collé d’une réponse précédente : les équipes achats detectent immédiatement les incohérences avec les certifications affichées (ISO 27001, SOC 2)
- Contenu trop générique : pas de mention du périmètre spécifique du marché
- Absence de délais concrets : les donneurs d’ordres exigent des engagements mesurables
- Incohérence avec le discours commercial : divergence entre le PAS et le site web/présentation
CCAG-TIC 2021 et PAS
L’article 4 du CCAG-TIC 2021 prévoit que le PAS peut faire partie des annexes à l’offre technique au même titre que le plan d’assurance qualité. Pour les marchés à objet numérique principal (externalisation SI, infogérance), le PAS est quasi-systématiquement exigé.
Comment élaborer un PAS efficace : méthodologie en 5 étapes
Étape 1 : Collecte de l’existant
- Inventaire des actifsinformation
- Analyse des risques déjà documentée (EBIOS, ISO 27005)
- Revue des politiques de sécurité en place
- Checklist : avez-vous une PSSI ? Un SMSI certifié ?
Étape 2 : Cartographie des exigences
- Identifier les exigences réglementaires applicables (RGPD, NIS2, DORA selon le secteur)
- Déterminer les exigences spécifiques du donneur d’ordres
- Hiérarchiser les contrôles par criticité
Étape 3 : Rédaction du document
Règle d’or : trouver le juste équilibre entre transparence et confidentialité. Trop d’information expose les vulnérabilités ; trop peu ne rassure pas.
Structure recommandée :
1. Présentation (1-2 pages)
2. Organisation SSI (1 page)
3. Mesures techniques (3-5 pages)
4. Mesures organisationnelles (3-5 pages)
5. Gestion des incidents (1-2 pages)
6. Annexes (si nécessaire)
Étape 4 : Validation et revue
- Revue par le RSSI / chef de projet cybersécurité
- Validation juridique (contrats, responsabilités)
- Review par un pair externe pour identifier les angles morts
Étape 5 : Diffusion et maintenance
- Transmission sous NDA si confidentiel
- Plan de revue annuel ou lors de changements majeurs
- Intégration dans le processus de réponse aux appels d’offres
Digitalisation du PAS : automatiser pour industrialiser
Face à un portefeuille de fournisseurs croissant, la gestion manuelle des PAS devient ingérable. Les solutions SaaS dédiées permettent :
- Centralisation : stock unique pour tous les PAS
- Automatisation : generation de documents contractuels
- Suivi dynamique : indicateurs de conformité temps réel
- Collaboration : espace d’échange multi-parties prenantes (sécurité, achats, juridique)
- Alertes : relances automatiques pour les revues
Cette digitalisation répond aux exigences de traçabilité imposées par NIS2 et DORA.
FAQ : vos questions répondues
Le PAS est-il obligatoire ? Non légalement, mais il devient la norme pour accéder aux marchés des ETI, grands comptes et administrations. Sans PAS, vous êtes systématiquement écarté.
Combien de temps pour élaborer un PAS ? Selon la maturité de votre organisation : 2 à 6 semaines. Une PME avec une PSSI existante produira un PAS en 2-3 semaines.
Qui doit valider le PAS ? Le RSSI (ou responsable sécurité) et le juridique. Pour les marchés sensibles, une validation par le DPO peut être requise.
Quelle durée de validité ? Le PAS est lié au contrat. Une revue annuelle est recommandée, ou à chaque modification substantielle du périmètre.
PAS et ISO 27001 : which first ? L’ISO 27001 prend 12-18 mois. En attendant, un PAS détaillé crédibilise vos réponses aux appels d’offres.
Conclusion
Le Plan d’Assurance Sécurité n’est plus une option pour les prestataires de services informatiques souhaitant accéder aux marchés des ETI, grands comptes et secteur public. C’est un outil stratégique qui conjugue dimension commerciale (différenciation, réponse aux appels d’offres), juridique (engagement contractuel) et technique (formalisation des mesures de sécurité).
En 2026, avec la montée en puissance de NIS2 et des exigences de supply chain security, le PAS s’impose comme un标准 de fait. Les organisations qui Investissent dès maintenant dans une méthodologie PAS robuste disposeront d’un avantage compétitif significatif face à celles qui tardent.
Prochaine étape : Identifiez vos marchés cibles, cartographiez les exigences de vos donneurs d’ordres potentiels, et construisez un PAS générique adaptable à chaque consultation.