Qu'est ce que le Plan d'Assurance Sécurité ?

Pour différentes raisons tant techniques que organisationnelles, une entreprise ou une structure publique peut choisir de confier la gestion de son système d’information à une société extérieure. Cette externalisation, aussi appelée infogérance, ne doit en revanche pas compromettre la sécurité du système et des données traitées.

Pour s’en assurer, le maître d’ouvrage peut dès lors demander au futur prestataire un document garantissant la sécurité de ce système, aussi appelé le Plan d’Assurance Sécurité (PAS).

Pourquoi adopter un Plan d’Assurance sécurité ?

Ce document agit en qualité de garant de la protection du système. L’infogérance est une pratique particulièrement intéressante dans le cas où le titulaire n’est pas assez compétent pour assurer un système d’information de qualité. Cependant le choix du prestataire doit se faire sur des garanties, permises par le PAS.

Document contractuel, une fois approuvé par la maîtrise d’ouvrage, le prestataire est aussi responsable de son application. Concrètement, en cas de non-respect du PAS, le prestataire sera sanctionné.

Ainsi le PAS permet au client d’assurer la sécurité de son système en établissant des recommandations pour atteindre les objectifs fixés par le titulaire.

Le PAS est aussi le document qui peut permettre au titulaire de choisir son futur prestataire. Ce dernier souhaite une confiance totale pour assurer la sécurité de son système d’information, il convient donc de choisir le candidat qui dans son PAS répondra aux mieux aux exigences souhaitées, ce qui écarte d’entrée le risque de choisir un prestataire qui serait finalement dans l’incapacité de répondre aux exigences du titulaire.

C’est donc aussi à contrario une opportunité pour les candidats puisque c’est sur ce document qu’ils peuvent remporter l’offre.

Comment rédiger un PAS

Le PAS est le résultat d’une réponse d’un prestataire à une requête émise par le titulaire de l’appel d’offre. Sa rédaction incombe en premier lieu un travail d’appréciation des risques pesant sur le système d’information, effectué par le titulaire. Une fois les risques identifiés, le donneur d’ordre détermine les objectifs à atteindre en matière de sécurité afin de rendre ces risques acceptables. Ces objectifs sont précisés dans le cahier des charges, et servent de cadre de contrat avec le prestataire, qui pourra proposer une réponse de stratégie pour atteindre ces objectifs.

La première démarche consiste donc pour le donneur d’ordre à préciser dans le cahier des charges ses exigences en termes de sécurité qu’il attend du futur prestataire. Ensuite, la rédaction du PAS en lui-même est effectuée par les candidats répondant à l’appel d’offres. Le prestataire d’externalisation doit alors rédiger une réponse organisée tout en veillant à répondre dans le cadre imposé par le titulaire. De la description des mesures du plan à l’organisation des travaux, le candidat doit détailler méthodologiquement les dispositifs mis en œuvre.

Il existe aussi des clauses à intégrer au PAS selon le contexte de l’externalisation, elle ne s’applique qu’à des situations particulières. titre de

Dès lors que le prestataire est sélectionné, le PAS est validé par le titulaire et est annexé au contrat.

L’ANSSI propose un guide détaillé d’une réponse type de PAS sur lequel peut s’appuyer un prestataire afin d’organiser sa rédaction et n’omettre aucun élément. Le guide offre un cadre de réponse structuré qui permet aisément d’être adapté en fonction de l’appel d’offre.