Plan d’Assurance Sécurité (PAS) : définition, objectifs et guide de rédaction
Un PAS est un document juridico-technique contractuel liant prestataire et client.
- Pièce obligatoire dans les marchés publics (CCAG-TIC).
- Démontre la conformité aux normes RGPD et ISO 27001.
- Sert de critère de présélection éliminatoire dans les appels d’offres.
- Détaille les mesures techniques, organisationnelles et humaines de cybersécurité.
- Engage la responsabilité du signataire sous peine de pénalités.
- Établit une relation de confiance contractuelle entre donneur d’ordre et prestataire.
Objectifs du Plan d’Assurance Sécurité
Le Plan d’Assurance Sécurité a pour objectif central de garantir la conformité aux exigences de sécurité imposées par le maître d’ouvrage. Il permet de sécuriser les données sensibles traitées dans le cadre du projet ou du service externalisé.
Ce document constitue un critère de présélection souvent éliminatoire dans les appels d’offres. Il établit une relation de confiance contractuelle entre le donneur d’ordre et le prestataire, en démontrant que les mesures de cybersécurité adaptées sont bien en place.
Enfin, le PAS répond aux exigences des normes comme le RGPD et l’ISO 27001. Il prouve que la gestion des risques est anticipée et que les dispositions techniques répondent aux obligations légales et réglementaires du marché.
Qu’est-ce qu’un Plan d’Assurance Sécurité (PAS) ?

Le Plan d’Assurance Sécurité (PAS) est un document juridico-technique contractuel qui sert de pont entre les exigences du client et la réalité opérationnelle du prestataire. Il ne se limite pas à une simple liste de bonnes pratiques : c’est un engagement formel qui détaille comment la sécurité des systèmes d’information sera garantie tout au long d’un projet ou d’une prestation.
- Document juridico-technique contractuel : il lie les deux parties et devient une annexe opposable du contrat principal.
- Définit les mesures cybersécurité du prestataire : il précise les dispositifs techniques, organisationnels et humains déployés pour protéger les données et les infrastructures.
- Pièce obligatoire dans les appels d’offres : de nombreux marchés, notamment ceux régis par le CCAG-TIC, exigent un PAS dès la phase de candidature.
- Cadre de réponse pour le candidat : il permet au prestataire de démontrer sa conformité aux exigences du maître d’ouvrage sans dévoiler ses secrets internes.
- Engage la responsabilité du signataire : toute non-conformité constatée peut entraîner des pénalités, voire une résiliation du contrat.
Les composantes principales d’un PAS
Éléments administratifs et de cadrage
Cette première partie pose le cadre juridique et contractuel du document. Elle est essentielle pour éviter toute ambiguïté lors de l’exécution du marché.
- Présentation du document et objet : décrit le périmètre du PAS, son but (sécuriser les données et le SI) et son caractère contractuel.
- Glossaire et définitions : donne la signification précise des termes techniques (CIL, PSSI, SMSI) utilisés dans le document.
- Documents de référence (RGPD, PSSI) : liste les normes et textes applicables, comme le RGPD pour les données personnelles ou la PSSI du donneur d’ordre.
- Périmètre du système d’information concerné : délimite exactement les logiciels, réseaux et données couverts par le plan.
Éléments techniques et organisationnels
Cette section détaille les mesures concrètes que le prestataire s’engage à mettre en œuvre.
- Gestion des actifs et cartographie : inventaire des serveurs, postes de travail et applications avec leur niveau de criticité associé.
- Sécurité des ressources humaines : clauses de confidentialité dans les contrats, sensibilisation des équipes aux risques cyber et procédure en cas de départ.
- Contrôles d’accès et chiffrement : politique de mots de passe, authentification multifacteur (MFA) et chiffrement des données en transit et au repos.
- Plan de réponse aux incidents : procédure de détection, notification au maître d’ouvrage (délai maximal de 72 heures pour une violation de données) et actions de remédiation.
Mise en œuvre et étapes clés d’un PAS
La rédaction d’un Plan d’Assurance Sécurité ne s’improvise pas. Elle suit un processus structuré en cinq grandes phases, qui garantit à la fois la conformité réglementaire et l’opérationnalité du document. Voici les étapes à respecter.
- Collecte de l’existant : commencez par un inventaire exhaustif des actifs (matériels, logiciels, données, locaux). Listez les documents déjà en place : politique de sécurité, charte informatique, contrats antérieurs. Cette phase est cruciale pour éviter les redondances.
- Analyse des risques existants : identifiez les menaces spécifiques au projet (intrusion, fuite de données, indisponibilité). Classez chaque risque par probabilité et impact. Cette analyse alimente directement les mesures de protection à intégrer dans le PAS.
- Définition des besoins des parties prenantes : recueillez les exigences du maître d’ouvrage (cahier des charges, appel d’offres). Interrogez aussi les utilisateurs finaux et les équipes techniques. Le PAS doit refléter un consensus entre sécurité et contraintes métier.
- Rédaction équilibrée entre transparence et confidentialité : le PAS est un document contractuel visible du client et, parfois, de l’autorité de contrôle. Décrivez les procédures sans révéler de données sensibles (mots de passe, adresses IP internes). Privilégiez les engagements de résultat plutôt que les détails techniques trop précis.
- Validation et mise à jour régulière : faites relire et approuver le document par le responsable sécurité, le juriste et le chef de projet. Planifiez une révision trimestrielle ou à chaque modification significative du système d’information. Un PAS obsolète perd toute valeur contractuelle.
Chaque phase produit un livrable partiel (inventaire d’actifs, tableau de risques, liste d’exigences) qui nourrit la version finale. Cette méthode réduit les oublis et évite les allers-retours coûteux en phase de validation. En suivant ces cinq étapes, vous obtenez un PAS auditable, proportionné aux risques et prêt à être annexé à un appel d’offres.
PAS et marchés publics / CCAG-TIC / appels d’offres
Dans le cadre des marchés publics informatiques, le Plan d’Assurance Sécurité est une pièce contractuelle obligatoire. L’article 4 du CCAG-TIC prévoit explicitement que le prestataire doit remettre un PAS en annexe de son offre, lors de la réponse à l’appel d’offres.
Le niveau de détail exigé est proportionnel à la criticité du marché et à la sensibilité des données traitées. Un PAS bien rédigé devient un critère de présélection éliminatoire face à la concurrence. Il peut inclure un plan de sécurité du système d’information et un plan de prévention des risques, avec la possibilité d’utiliser des clauses simplifiées via le CCSC pour les prestations moins sensibles.
PAS et normes (ISO 27001, RGPD)
| Document | Nature juridique | Objectif principal | Valeur ajoutée dans un appel d’offres |
|---|---|---|---|
| PAS | Contractuelle | Définir les mesures de sécurité pour un marché spécifique | Critère de conformité obligatoire et éliminatoire |
| ISO 27001 | Certification volontaire | Attester la maturité du Système de Management de la Sécurité de l’Information (SMSI) | Facteur de confiance et de crédibilité auprès des grands comptes |
| RGPD | Règlement européen contraignant | Protéger les données personnelles et garantir les droits des personnes | Cadre légal impératif pour tout traitement de données |
Ces trois cadres ne se substituent pas, ils se complètent. Un PAS sans ISO 27001 manque souvent de crédibilité technique lors des réponses aux appels d’offres des grands comptes. À l’inverse, une certification ISO 27001 sans PAS ne suffit pas pour signer un marché : elle atteste une organisation générale, mais pas les dispositions concrètes applicables au projet concerné. Le RGPD, quant à lui, sert de socle légal : le PAS doit explicitement y faire référence pour couvrir la protection des données personnelles. En combinant les trois, le prestataire démontre à la fois la conformité contractuelle, la maturité organisationnelle et le respect des obligations réglementaires.
FAQ : Plan d’Assurance Sécurité
Qu’est-ce qu’un document d’assurance sécurité informatique ?
Un document d’assurance sécurité informatique formalise les mesures et procédures visant à protéger les systèmes d’information contre les menaces. Il définit les objectifs de sécurité, les rôles et les responsabilités, assurant une protection cohérente des données et des actifs numériques.
Qui est chargé de la rédaction du plan d’assurance sécurité ?
La rédaction du plan d’assurance sécurité incombe généralement au responsable de la sécurité des systèmes d’information (RSSI) ou à un prestataire spécialisé. Il est rédigé en collaboration avec les équipes techniques et juridiques, puis validé par la direction.
En quoi consiste un plan de sécurité général ?
Un plan de sécurité général est un cadre stratégique qui regroupe l’ensemble des politiques, procédures et contrôles pour protéger une organisation. Il couvre la prévention, la détection et la réponse aux incidents, en alignement avec les exigences réglementaires et les objectifs métier.
Que doit contenir un plan de sécurité ?
Un plan de sécurité doit contenir le périmètre à protéger, l’analyse des risques, les mesures techniques et organisationnelles, les procédures de gestion des incidents, les plans de continuité d’activité, ainsi que les rôles et responsabilités de chaque intervenant.
