Plan d’Assurance Sécurité (PAS) : Définition, Objectifs et Méthodologie de Rédaction
Un PAS définit les mesures de protection du système d’information contre les risques.
- Document contractuel opposable entre client et prestataire.
- Obligatoire selon l’article 4 du CCAG-TIC 2021.
- Anticipe les vulnérabilités liées au transfert de données externalisé.
- Couvre quatre catégories de risques : mécaniques, physiques, chimiques, biologiques.
- Structure la proposition de sécurité du soumissionnaire en appel d’offres.
Qu’est-ce qu’un Plan d’Assurance Sécurité (PAS) ?
- Document contractuel de cybersécurité opposable entre le client et le prestataire.
- Définit les mesures de protection du système d’information contre les 4 catégories de risques : mécaniques, physiques, chimiques, biologiques.
- Obligatoire dans les appels d’offres public et privé, notamment en référence à l’article 4 du CCAG-TIC 2021 relatif aux pièces contractuelles.
- Cadre de réponse pour les candidats : il structure la proposition de sécurité du soumissionnaire.
- Conçu en amont de l’externalisation pour anticiper les vulnérabilités liées au transfert de données.
Objectifs et avantages stratégiques du PAS

Le plan d’assurance sécurité poursuit 3 objectifs majeurs : garantir la confidentialité, l’intégrité et la disponibilité des données traitées. En formalisant ces exigences, le PAS rassure les clients sur la protection de leurs informations sensibles et constitue un avantage concurrentiel décisif lors des appels d’offres.
Au-delà de la conformité réglementaire, ce document instaure un cadre de confiance durable avec les partenaires. Sa mise en œuvre systématique transforme la cybersécurité en levier stratégique, différenciant clairement les prestataires qui sécurisent leurs processus de ceux qui négligent cet aspect critique.
Composantes clés et méthodologie d’élaboration d’un PAS
Éléments essentiels à intégrer dans un PAS
Un Plan d’Assurance Sécurité repose sur une structure documentaire précise. Chaque composante répond à un objectif spécifique pour couvrir les 4 catégories de risques identifiées : mécaniques, physiques, chimiques et biologiques, auxquels s’ajoutent les cybermenaces. Les sections obligatoires sont les suivantes :
- Présentation et objet : cadre contractuel du PAS, parties prenantes et périmètre du système d’information concerné.
- Définitions et documents de référence : glossaire, normes applicables et textes réglementaires comme l’Article 4 du CCAG-TIC 2021 relatif aux pièces contractuelles.
- Inventaire des actifs : recensement exhaustif des serveurs, bases de données, équipements réseau et applications critiques.
- Analyse des risques : scénarios d’attaque, impacts potentiels et probabilité de réalisation, classés par criticité.
- Gestion des accès et habilitations : règles de contrôle d’identité, droits utilisateurs et procédures de révocation.
Étapes de rédaction d’un PAS efficace
L’élaboration du document suit une méthodologie en 5 phases, garantissant une couverture complète des objectifs de confidentialité, intégrité et disponibilité :
- Phase 1 : collecte de l’existant : inventaire des actifs, cartographie des flux et état des lieux des mesures de sécurité déjà en place.
- Phase 2 : définition des besoins : identification des exigences réglementaires (RGPD, normes métier) et des attentes du client ou de l’acheteur public.
- Phase 3 : rédaction claire et structurée : formalisation des procédures, plans de réponse et engagements de sécurité sous forme contractuelle.
- Phase 4 : validation par les responsables sécurité : relecture croisée par le RSSI, les juristes et les chefs de projet avant soumission.
- Phase 5 : mise à jour régulière : révision annuelle ou à chaque changement significatif (menaces, infrastructures, réglementations).
PAS, appels d’offres et marchés publics
Dans le cadre d’un appel d’offres public, le Plan d’Assurance Sécurité est une pièce jointe souvent éliminatoire à la RFP. L’article 4 du CCAG-TIC 2021 précise qu’il s’agit d’une pièce contractuelle obligatoire, exigée dès la phase de candidature.
Le PAS sert de cadre de réponse pour les candidats, qui doivent y détailler leurs mesures de cybersécurité. Le niveau de détail attendu est proportionnel à la criticité des données traitées. Un dossier incomplet ou jugé insuffisant entraîne automatiquement le rejet de l’offre.
Pour le maître d’ouvrage, ce document constitue un critère de présélection et un outil de comparaison entre les soumissionnaires. Il garantit que le prestataire retenu s’engage contractuellement sur la confidentialité, l’intégrité et la disponibilité des systèmes avant toute externalisation.
Compatibilité du PAS avec les normes ISO 27001 et RGPD
| Aspect | PAS | ISO 27001 | RGPD |
|---|---|---|---|
| Nature juridique | Document contractuel opposable | Norme de certification volontaire | Règlement européen contraignant |
| Périmètre d’application | Projet ou contrat spécifique | Système de Management (SMSI) | Données personnelles des citoyens |
| Objectif principal | Sécuriser la prestation externalisée | Certifier la maîtrise des risques | Protéger la vie privée |
| Complémentarité | Reprend les mesures du SMSI | Crédibilise les engagements du PAS | Impose l’analyse d’impact (AIPD) |
| Substituabilité | Non substituable à ISO 27001 | Ne remplace pas le PAS | Ne remplace pas le PAS |
Le PAS comme pont contractuel entre normes et réglementation
Le PAS agit comme un pont opérationnel entre la certification ISO 27001 (SMSI) et le RGPD. Les trois outils poursuivent les 3 objectifs majeurs du cycle de vie de l’information : confidentialité, intégrité et disponibilité. Un prestataire déjà certifié ISO 27001 dispose d’une crédibilité renforcée : ses processus de gestion des risques et ses contrôles d’accès sont directement transposables dans le PAS. Inversement, un PAS rédigé sans s’appuyer sur un SMSI risquerait de n’être qu’une déclaration d’intention sans garantie d’exécution.
Sur le volet RGPD, le PAS doit intégrer les mesures techniques et organisationnelles (MTO) exigées par l’article 32 du règlement. Il décrit par exemple la gestion des habilitations, le chiffrement des données et la procédure de notification des violations. Cette articulation est essentielle lorsque le PAS concerne un traitement de données personnelles, notamment dans le cadre de l’externalisation des systèmes d’information. Le donneur d’ordre s’assure ainsi que le sous-traitant respecte le règlement à chaque étape de la prestation, en complément de l’analyse d’impact relative à la protection des données (AIPD).
PAS et externalisation des systèmes d’information
L’externalisation d’un système d’information impose un Plan d’Assurance Sécurité pour cadrer la relation avec le prestataire. Ce document contractuel décrit les mesures de confidentialité, d’intégrité et de disponibilité applicables aux données du client hébergées chez le sous-traitant.
Pour un prestataire cloud, le PAS constitue une obligation réglementaire qui limite la transmission de vulnérabilités. Il formalise les engagements de sécurité, les procédures de gestion des accès et les scénarios de réponse aux incidents. Sans ce cadre, l’externalisation expose l’organisation à des risques juridiques et opérationnels majeurs.
Le niveau de détail du PAS doit être proportionnel à la criticité des actifs externalisés. Un document trop vague affaiblit la confiance du client et peut devenir un critère éliminatoire lors des appels d’offres. Sa mise à jour régulière garantit l’adéquation avec les menaces et les réglementations en vigueur.
Questions fréquentes sur le Plan d’Assurance Sécurité
Comment définir un plan d’assurance sécurité ?
Un plan d’assurance sécurité est un document contractuel qui formalise l’ensemble des mesures organisationnelles, techniques et humaines visant à garantir la sécurité d’un système d’information tout au long d’un projet.
Qui est chargé de rédiger le PAS ?
La rédaction du PAS incombe au prestataire ou au titulaire du marché, qui doit le soumettre à l’approbation du client ou de l’autorité contractante avant le début des travaux.
Quelle différence entre PAS et plan de sécurité ?
Le PAS est un document spécifique à un projet ou un contrat, tandis que le plan de sécurité est un document générique décrivant la politique de sécurité permanente d’une organisation.
Quels domaines de sécurité couvre le PAS ?
Le PAS couvre la sécurité logique, la sécurité physique, la gestion des accès, la protection des données, la continuité d’activité, la gestion des incidents et la conformité réglementaire.
