PAS Informatique : Plan d'Assurance Sécurité Complet (Guide 2026)
Hippolyte Valdegré
Qu’est-ce qu’un Plan d’Assurance Sécurité (PAS) en informatique ?
Le Plan d’Assurance Sécurité (PAS) est un document contractuel et technique qui détaille les mesures de cybersécurité qu’un prestataire s’engage à mettre en œuvre pour protéger le système d’information de son client. Dans un contexte où 91 % des organisations françaises ont été ciblées par une cyberattaque en 2020, le PAS est devenu un outil stratégique pour rassurer donneurs d’ordres et régulateurs.
Le PAS répond à une double exigence : garantir la conformité réglementaire (RGPD, NIS 2, DORA) et prouver la maturité cybersécurité du prestataire lors d’appels d’offres. Il s’inscrit dans une démarche plus large de gouvernance de la sécurité des systèmes d’information aux côtés de la PSSI (Politique de Sécurité des Systèmes d’Information).
Pourquoi le PAS est-il devenu indispensable en 2026 ?
L’explosion des risques par la supply chain
Les cyberattaques via les prestataires et fournisseurs ont augmenté de +51 % en France depuis 2020. Un prestataire vulnérable = un point d’entrée pour les attaquants vers le système d’information du donneur d’ordres. En témoigne l’exploitation massive du ransomware “Sorry” ciblant les serveurs Web via des failles non corrigées, illustrant comment une vulnérabilité nonpatchée peut compromettre l’ensemble d’une chaîne d’approvisionnement numérique.
Les nouvelles obligations réglementaires
| Réglementation | Impact sur le PAS |
|---|---|
| RGPD | Co-responsabilité client/prestataire (articles 32-34) |
| NIS 2 | Obligation de gestion des risques tiers pour les entités critiques |
| DORA | Exigences de sécurité pour le secteur financier et ses prestataires |
| CCAG-TIC 2021 | Le PAS peut être annexé au contrat (article 4) |
Les statistiques clés
- 3,7 millions d’euros : coût moyen d’unecyberattaque pour une entreprise française
- 8 % seulement des ETI disposent d’une couverture cyber adaptée
- 51 % des données ne sont que partiellement récupérées après paiement d’une rançon
Contenu type d’un Plan d’Assurance Sécurité
Un PAS efficace doit couvrir l’ensemble des domaines de sécurité. Voici la structure recommandée par l’ANSSI et les experts du marché :
1. Présentation et cadre général
- Objet du document et périmètre
- Glossaire des termes techniques
- Documents de référence (normes ISO, legislation, etc.)
2. Description de la prestation
- Nature des services externalisés
- Architecture technique du système d’information
- Localisation des données et des infrastructures
3. Sécurité des ressources humaines
| Domaine | Contenu attendu |
|---|---|
| Recrutement | Vérification des antécédents, clauses de confidentialité |
| Gestion des accès | Procédures d’arrivée/départ des collaborateurs |
| Formation | Sensibilisation régulière à la sécurité SSI |
4. Gestion des actifs et des accès
- Inventaire des actifs : cartographie complète des serveurs, bases de données, applications
- Classification des données : niveaux de sensibilité et protections associées
- Gestion des habilitations : principe du moindre privilège
- Traçabilité : journalisation des accès et des opérations
5. Sécurité physique
- Contrôle d’accès aux locaux et aux datacenters
- Protection des zones critiques (salles serveur, locaux techniques)
- Monitoring environnemental (température, humidité, détection d’intrusion)
6. Sécurité de l’exploitation
- Durcissement des systèmes et configurations sécurisées
- Sauvegardes : Plan de sauvegarde et de restauration (RTO/RPO définis)
- Gestion des correctifs : processus de mise à jour de sécurité
- Protection contre les codes malveillants : antivirus, EDR, détection d’anomalies
La négligence du durcissement des panneaux de contrôle comme cPanel peut exposer des millions d’utilisateurs à une faille critique de sécurité des serveurs si les mises à jour de sécurité ne sont pas appliquées rapidement.
7. Sécurité des communications
- Politique de sécurité des transmissions (chiffrement TLS, VPN)
- Accès à distance sécurisé (authentification forte, journalisation)
- Cloisonnement réseau (segmentation DMZ, zones stratégiques)
8. Sécurité des développements
- Règles de développement sécurisé (OWASP, secure coding)
- Gestion des environnements (développement / pré-production / production)
- Protection des données de test (anonymisation, non-utilisation de données production)
L’administration des serveurs via des interfaces Web non sécurisées peut également introduire des vulnérabilités critiques : une faille critique dans Nginx UI permettait la prise de contrôle totale d’un serveur en exploitant des failles d’injection, soulignant l’importance de valider la sécurité des outils d’administration.
9. Gestion des incidents et continuité d’activité
| Phase | Éléments à documenter |
|---|---|
| Détection | Systèmes de monitoring, SIEM, alertes automatiques |
| Réponse | Procédure d’escalade, délais de remédiation承诺 |
| Communication | Notification client, déclaration CNIL (72h si violation) |
| Post-incident | Analyse des causes, plan d’amélioration |
- Plan de Continuité d’Activité (PCA) : procédures de reprise, tests réguliers
- Plan de Gestion de Crise : organigramme, rôles et responsabilités
PAS, PSSI et ISO 27001 : quelle différence ?
| Critère | PAS | PSSI | ISO 27001 |
|---|---|---|---|
| Nature | Document contractuel | Politique interne | Certification internationale |
| Public | Client / donneur d’ordres | Collaborateurs, RSSI | Auditeurs certificateurs |
| Périmètre | Prestation / fournisseur spécifique | Ensemble du SI de l’organisation | SMSI ( Système de Management de la Sécurité de l’Information) |
| Durée | Liée au contrat | Permanente, mise à jour annuelle | Audit annuel + surveillance |
| Objectif | Rassurer le client sur un prestataire | Définir la stratégie sécurité globale | Obtenir une certification tierce |
Point clé : un PAS sans ISO 27001 derrière manque de crédibilité auprès des grands comptes. Inversement, ISO 27001 sans PAS reste insuffisant pour signer un marché impliquant des données sensibles. Les deux sont complémentaires.
Comment élaborer un PAS efficace en 5 étapes
Étape 1 : Collecte de l’existant (1-2 semaines)
- Inventaire des actifs et cartographie du SI
- Revue des politiques de sécurité en place
- Identification des certifications existantes (ISO 27001, SOC 2)
- Analyse des risques résiduels
Étape 2 : Définition des exigences (1 semaine)
En concertation avec le RSSI, la DSI et le service juridique :
- Déterminer le niveau d’exigence attendu
- Identifier les exigences réglementaires applicables (RGPD, NIS 2, sectoriel)
- Hiérarchiser les contrôles prioritaires
Étape 3 : Rédaction du document (1-2 semaines)
Règle d’équilibre : le PAS doit apporter assez d’informations pour rassurer le client sans exposer de failles sensibles. Un document trop générique = élimination en phase de présélection. Un document trop détaillé = risque de sécurité.
Structure recommandée :
- Résumé exécutif (2 pages max)
- Présentation du prestataire et de son contexte
- Organisation de la sécurité
- Description des mesures par domaine
- Preuves de conformité (certifications, audits)
- Engagement contractuel et sanctions
Étape 4 : Validation et signature (1 semaine)
- Revue par le RSSI et la direction juridique
- Négociation des points de divergence avec le client
- Signature du document (NDA souvent requis en amont)
- Intégration au contrat comme annexe
Étape 5 : Suivi et mise à jour (continu)
- Revue annuelle ou lors de changements majeurs
- Traçabilité des incidents et des évolutions
- Renouvellement des preuves de conformité
Erreurs fréquentes lors de la rédaction d’un PAS
| Erreur | Conséquence | Correction |
|---|---|---|
| Copier-coller un modèle générique | Repéré immédiatement par les équipes achats, élimination en première lecture | Personnaliser chaque section avec des détails concrets |
| Promettre l’impossible | Engagement contractuel impossible à tenir | Rester réaliste, indiquer les limites et la roadmap d’amélioration |
| Oublier les preuves | Pas de crédibilité sans certifications ni audits | Joindre ISO 27001, SOC 2, rapports d’audit |
| Négliger la traçabilité | Impossible de prouver la conformité | Documenter chaque mesure avec date, responsable, résultat |
| Ignorer les mises à jour | PAS obsolète après 6 mois | Planifier une revue trimestrielle minimum |
FAQ : Vos questions sur le PAS informatique
Le PAS est-il obligatoire ?
Non, mais il devient la norme pour répondre aux appels d’offres des grands comptes, des établissements financiers et des entités soumises à NIS 2. C’est un critère de présélection éliminatoire.
Quand envoyer le PAS dans un processus d’appel d’offres ?
Le PAS s’envoie avec la réponse initiale, jamais en phase de négociation. Une demande tardive de PAS détaillé signale généralement une élimination pour PAS générique en première lecture.
Quelle différence entre PAS et questionnaire de sécurité ?
Le PAS est un document contractuel que vous proposez. Le questionnaire de sécurité est envoyé par le donneur d’ordres pour vérifier vos réponses. Les deux se complètent : le questionnaire peut être basé sur votre PAS.
###Combien de temps faut-il pour élaborer un PAS complet ?
Selon la maturité de votre organisation : 2 à 6 semaines (collecte, rédaction, validation). La digitalisation du processus avec des outils comme Make IT Safe réduit ce délai de moitié.
Faut-il un NDA pour échanger un PAS ?
Oui, le PAS contient des informations sensibles sur votre sécurité. Utilisez un accord de non-divulgation avant tout échange avec des prospects ou clients potentiels.
En résumé
Le Plan d’Assurance Sécurité (PAS) est bien plus qu’un document contractuel : c’est un outil de communication stratégique, un gage de conformité réglementaire et un différenciateur concurrentiel. Dans un contexte où les risques cyber explosent et où les régulateurs durcissent leurs exigences, disposer d’un PAS bien structuré et actualisé est devenu un impératif pour tout prestataire informatique.
Points clés à retenir :
- Le PAS combine dimensions juridique, technique et commerciale
- Il doit être personnalisé, réaliste et accompagné de preuves (ISO 27001, audits)
- La digitalisation du processus facilite le suivi et les mises à jour
- En 2026, le PAS est un critère de présélection pour les marchés sensibles
Pour vous accompagner dans l’élaboration ou la gestion de vos PAS, des solutions SaaS comme Make IT Safe permettent d’industrialiser et de centraliser cette démarche sur l’ensemble de votre portefeuille fournisseurs.