PAS Informatique : Plan d'Assurance Sécurité en 2026 - Guide Complet
Séraphine Clairlune
Un Plan d’Assurance Sécurité (PAS) est un document contractuel qui formalise les engagements d’un prestataire en matière de cybersécurité. Découvrez comment l’élaborer, quand le fournir et comment l’utiliser pour sécuriser vos relations fournisseurs.
Qu’est-ce qu’un PAS informatique ?
Le Plan d’Assurance Sécurité (PAS) est un document à la fois juridique et technique qui détaille comment un prestataire de services se conforme aux exigences de cybersécurité définies par son client (donneur d’ordres).
Distinction clé : PAS vs PSSI
| Aspect | PAS | PSSI |
|---|---|---|
| Nature | Document contractuel | Politique interne |
| Confidentialité | Version anonymisée transmise aux tiers | Document interne sensible |
| Objectif | Rassurer clients et prospects | Définir la stratégie seguridad interne |
| Public | Donneurs d’ordres, prospects | Équipe interne |
Le PAS converts essential security commitments into verifiable contractual obligations. It’s not about disclosing your entire security infrastructure-it’s about demonstrating that controls exist and will be enforced.
Quand le PAS devient-il obligatoire ?
Les 3 situations clés
- Externalisation d’une brique du système d’information : toute prestation impliquant accès à vos données ou interconnexion avec votre SI
- Marchés publics à objet numérique : selon l’article 4 du CCAG-TIC 2021
- Transfert de données personnelles (RGPD) : obligation légale du sous-traitant (article 28)
Le cadre réglementaire 2026
| Réglementation | Impact sur le PAS |
|---|---|
| RGPD (art. 32) | Preuve de mesures techniques appropriées |
| NIS 2 | Chaîne d’approvisionnement sécurisée |
| DORA | Résilience opérationnelle des tiers critiques |
| ISO 27001 | Langage universel de sécurité |
Structure du PAS : les 18 chapitres essentiels
Le guide ANSSI de 2010 reste la référence. Voici la structure complète :
- Présentation du document - Objet, glossaire, références normatives
- Description de la prestation - Périmètre technique et géographique
- Sécurité des ressources humaines - Recrutement, formation, départ
- Gestion des actifs - Inventaire et classification
- Gestion des accès logiques - Droits, habilitations, traçabilité
- Gestion des authentifiants - Mots de passe, certificats, MFA
- Sécurité physique - Contrôle des locaux, zones sécurisées
- Sécurité de l’exploitation - Durcissement, sauvegardes, correctifs
- Sécurité des communications - Chiffrement, accès à distance
- Sécurité des développements - Cycle sécurisé, données de test
- Maintenance des SI - Maintien du niveau de sécurité
- Relation avec les tiers - Sous-traitants et partenaires
- Gestion des incidents - Détection, réponse, communication (voir notamment l’incident cPanel critique qui a mis en lumière les risques d’exploitation)
- Gestion de la continuité d’activité - PRA/PCA
- Mise à jour des systèmes - Postes de travail, navigateurs (Découvrez comment protéger votre hébergement contre la faille à l’origine du ransomware Sorry)
- Gestion de la documentation - Référentiel documentaire
- Contrôle et évaluation - Audits, reporting
- Couverture des exigences - Matrice de conformité
Comment élaborer un PAS en 5 étapes
Étape 1 : Cadrage (J1-J5)
- Identifier les fournisseurs à évaluer
- Définir le niveau d’exigence selon criticité
- Rédiger le questionnaire ou demander le template ANSSI
Étape 2 : Collecte (J5-J15)
- Transmettre la demande sous NDA
- Recueillir le PAS complété par le fournisseur
- Vérifier la cohérence avec certifications affichées (ISO 27001, SOC 2)
Étape 3 : Analyse (J15-J25)
- Identifier les écarts entre exigences et réponse
- Hiérarchiser les gaps par criticité
- Définir les actions de remédiation
Étape 4 : Négociation (J25-J35)
- Discuter des mesures compensatoires si nécessaire
- Formaliser les engagements dans le document final
- Valider par les parties (RSSI, juridiques, achats)
Étape 5 : Contractualisation (J35-J45)
- Annexer le PAS au contrat
- Définir le calendrier de revues périodiques
- Planifier le premier audit ou auto-évaluation
Délai moyen : 4 à 8 semaines selon la complexité du prestataire
Checklist : PAS conforme ou générique ?
Un PAS générique se repère immédiatement. Voici les signaux d’alerte :
| Critère | ❌ PAS générique | ✅ PAS vérifiable |
|---|---|---|
| Traçabilité | Phrases vagues sur les incidents | SLA précis (ex : réponse en 4h, résolution 24h) |
| Cohérence | Copié d’ISO 27001 sans adaptation | Décrit les outils réels (ex : Splunk, Veeam) |
| Engagement | “Nous mettons à jour régulière” | “Mise à jour mensuelle des correctifs critiques sous 72h” |
| Certification | Aucune mention ISO/SOC2 | Référence croisée avec certificats affichés |
| Gouvernance | Liste de chapitres sans gouvernance | RSSI nommé, comités de suivi trimestriels |
Ce que les donneurs d’ordres vérifient en premier
Pour les marchés publics et grands comptes (banque, santé, assurance) :
- Timing : le PAS arrive avec la réponse initiale, jamais en négociation
- Cohérence : les équipes sécurité croisent PAS avec certifications
- Spécificité : un PAS générique = élimination en première lecture
Pour les ETI/PME : un PAS détaillé crédibilise la réponse en attendant une certification ISO 27001 (12-18 mois de cycle). Mentionner une roadmap ISO dans le PAS rassure les équipes achats.
Comment maintenir le PAS à jour ?
Le PAS n’est pas un document figé. Il doit évoluer avec :
| Déclencheur | Action requise |
|---|---|
| Incident de sécurité majeur | Revue immediate du chapter “Gestion des incidents” |
| Évolution réglementaire (NIS2, DORA) | Mise à jour des références et exigences |
| Changement d’architecture SI | Actualisation du chapter “Description de la prestation” |
| Nouveau sous-traitant critique | Ajout au chapter “Relation avec les tiers” |
| Audit ou certification ISO | Aligner le PAS avec les constats |
Fréquence recommandée : revue annuelle minimale, avec suivi trimestriel des indicateurs de sécurité.
FAQ express
Le PAS est-il obligatoire ? Non légalement, mais il devient la norme pour prouver votre diligence raisonnable face aux tiers critiques et aux régulateurs.
Combien de temps pour élaborer un PAS ? 2 à 4 semaines pour un premier document complet, 4 à 8 semaines en contexte d’appel d’offres avec échanges.
Qui participe côté fournisseur ? RSSI, équipe IT, service juridique - pilotés par le service Achats côté contractuel.
PAS et ISO 27001 : même chose ? Non. ISO 27001 certify your ISMS maturity; the PAS contractualizes specific measures for a given contract. Both are complementary and neither substitutes for the other.
Conclusion
Le Plan d’Assurance Sécurité est devenu un impératif stratégique pour toute organisation traitant des données sensibles ou externalisant des services IT. Il n’est plus question de fournisseurs qui vous expliquent口头ement leur niveau de sécurité - le PAS formalise les engagements et les rend vérifiables.
Face à l’explosion des attaques par la supply chain (hausse de 30% des ransomwares prévue en 2026), disposer d’un PAS exigeant et correctement suivi constitue un avantage concurrentiel majeur, tant pour rassurer vos clients que pour répondre aux exigences croissantes des régulateurs.