PAS Informatique : Guide Complet du Plan d'Assurance Sécurité (2026)

Églantine Montclair

mai 5, 2026

Qu’est-ce qu’un Plan d’Assurance Sécurité (PAS) en informatique ?

Le Plan d’Assurance Sécurité (PAS) est un document contractuel et technique qui définit l’ensemble des mesures de cybersécurité mises en œuvre par un prestataire pour protéger son système d’information. Il précise comment le fournisseur se conforme aux exigences de sécurité définies par le donneur d’ordres concernant son organisation et son SI.

Le PAS répond aux obligations des articles 34 et 35 de la loi Informatique et Libertés (6 janvier 1978) et au RGPD (articles 28 et 32), qui imposent au responsable de traitement comme à son sous-traitant de garantir la sécurité et la confidentialité des données personnelles.

Tableau comparatif : PAS vs PSSI

Critère	PSSI (Politique de Sécurité des SI)	PAS (Plan d’Assurance Sécurité)
Nature	Document interne stratégique	Document contractuel, souvent anonymisé
Public	Direction, RSSI, collaborateurs	Donneur d’ordres, clients, auditeurs
Objectif	Définir la stratégie sécurité globale	Prouver la conformité aux exigences d’un tiers
Visibilité	Interne / confidentiel	Externe (dans un cadre NDA)
Relation	Cadre directeur	Annexe au contrat (après appel d’offres)

Pourquoi le PAS est-il stratégique en 2026 ?

Un contexte de menaces accrues

En France, 91 % des organisations ont été ciblées par une cyberattaque en 2024. Les pertes financières moyennes sont estimées à 3,7 millions d’euros par incident, en hausse de 28 % sur un an. Cette réalité fait du PAS un élément discriminant dans le choix d’un prestataire, en particulier pour :

L’externalisation de données (cloud, infogérance, SaaS)
La réponse aux appels d’offres publics et grands comptes (banque, santé, assurance)
La conformité RGPD pour les sous-traitants manipulant des données personnelles
La démonstration de diligence raisonnable vis-à-vis des assureurs cyber

PAS et certifications : compatibilité

Situation	Valeur ajoutée
PAS seul	Répond aux exigences contractuelles d’un appel d’offres
ISO 27001 seul	Atteste d’un SMSI mature mais pas des mesures spécifiques au marché
PAS + ISO 27001	Crédibilité maximale : certification + engagements contractuels adaptés
PAS + roadmap ISO	Solution crédible pour les ETI/PME en attente de certification (12-18 mois)

Point clé : Les équipes sécurité des grands comptes croisent les engagements PAS avec les certifications affichées. Une incohérence entre le PAS et ISO 27001 ou SOC 2 déclarés est éliminatoire.

Contenu obligatoire d’un PAS informatique

Voici la structure type d’un Plan d’Assurance Sécurité, basée sur le référentiel ANSSI et les bonnes pratiques du marché :

Chapitres fondamentaux

Présentation du document - Objet, glossaire, documents de référence (ISO 27001, ISO 27002, TIER de l’Uptime Institute…)
Description de la prestation - Périmètre de l’externalisation, architecture technique, environnement
Sécurité des ressources humaines - Recrutement, gestion des arrivées/départs, sensibilisation et formation SSI, incluant la lutte contre le phishing alimenté par l’IA
Gestion des actifs - Cartographie, classification, protection des informations
Gestion des accès logiques - Droits d’accès, contrôle, gestion des habilitations, traçabilité
Gestion des identifiants - Politique de mots de passe, gestion des certificats électroniques
Sécurité physique - Contrôle d’accès aux locaux, protection des zones critiques, traçabilité
Sécurité de l’exploitation des SI
- Durcissement des ressources informatiques
- Sauvegardes et restauration
- Gestion des correctifs de sécurité
- Lutte contre les codes malveillants
- Administration des SI
Sécurité des communications - Sécurisation des transmissions, accès à distance, accès réseau interne
Sécurité des développements - Règles de développement, cloisonnement des environnements, données d’essai
Maintenance des SI - Maintien du niveau de sécurité, sécurité de la maintenance, mise au rebut
Relation avec les tiers - Gestion de la sécurité avec les sous-traitants (supply chain)
Gestion des incidents et des alertes
- Veille et gestion des vulnérabilités techniques
- Détection et dispositif de gestion des incidents
- Journalisation
- Gestion de crise
Gestion de la continuité d’activité - Plan PCA/PRA, protection des données de sauvegarde
Mise à jour des systèmes et logiciels - Postes de travail, terminaux personnels, privilèges, navigation, avec une veille active sur les vulnérabilités critiques (faille cPanel critique)
Gestion de la documentation - Référentiel documentaire, gestion versionnée
Contrôle et évaluation - Audits récurrents, reporting SSI, mesures correctives

Comment élaborer un PAS efficace : les 5 étapes

Étape 1 - Collecte de l’existant

Réalisez un état des lieux complet :

Inventaire des actifs (serveurs, bases de données, applications critiques)
Analyse des risques existants
Revue des politiques de sécurité en vigueur (PSSI, charte utilisateur…)
Vérification des certifications obtenues (ISO 27001, HDS, SOC 2…)

Étape 2 - Définition des exigences

En concertation avec la direction, le RSSI et les équipes juridiques :

Identifiez les exigences réglementaires applicables (RGPD, NIS 2, DORA, CCAG-TIC 2021…)
Déterminez le niveau de sécurité attendu par le donneur d’ordres
Sélectionnez les domaines de contrôle pertinents (catégories ci-dessus)
Définissez les preuves attendu

Étape 3 - Rédaction du document

Rédigez de manière claire, structurée et proportionnée :

Transparence excessive : vous exposez des failles potentielles
Document trop succinct : vous ne rassurerez pas le donneur d’ordres
Visez le juste équilibre entre engagement vérifiable et protection des informations sensibles

Astuce : Anonymisez les détails confidentiels (chemins exacts, outils internes…) pour produire un document partageable en toute sécurité.

Étape 4 - Validation et mise à jour

Le document doit être validé par les responsables sécurité puis intégré au contrat. Prévoyez un plan de mise à jour semestriel ou annuel pour :

Intégrer les nouvelles réglementations (NIS 2, DORA en vigueur depuis janvier 2025…)
Refléter les changements d’architecture
Documenter les incidents survenus

Étape 5 - Communication et transmission

Envoyez le PAS en réponse à la RFP (avec l’offre technique initiale, pas en phase de négociation)
Transmettez sous NDA pour protéger les informations sensibles
Conservez un historique des versions pour audit

Erreurs fréquentes à éviter

Erreur	Conséquence
Copier-coller un modèle générique	Repéré immédiatement par les équipes achats des grands comptes
Omettre les délais de remédiation	Pas d’engagement contractuel évaluable
Décrire des mesures irréalistes	Incohérence lors des audits de terrain
Ne pas lier le PAS à la PSSI réelle	Décalage entre déclaratif et pratique
Ignorer NIS 2 / DORA	Non-conformité réglementaire pour les secteurs critique

FAQ : Questions fréquentes sur le PAS informatique

Le PAS est-il obligatoire ?

Non, il n’est pas obligatoire légalement. Mais il devient la norme pour prouver votre diligence raisonnable face aux tiers critiques et répondre aux exigences des donneurs d’ordres (marchés publics, grands comptes, secteur financier…).

Quand fournir le PAS dans un appel d’offres ?

Le PAS s’envoie avec la réponse initiale à la RFP. Une demande tardive de PAS détaillée signale généralement que le donneur d’ordres a déjà repéré un PAS générique en première lecture.

Quelle est la différence avec la PSSI ?

La PSSI est un document interne qui définit la stratégie globale de sécurité. Le PAS est sa version contractuelle et anonymisée, adaptée aux exigences spécifiques d’un client ou donneur d’ordres.

Combien de temps pour élaborer un PAS ?

De 2 à 6 semaines selon la complexité du périmètre et la maturité de votre système d’information. Pour vous former aux bonnes pratiques, consulteznotre sélection des meilleurs livres cybersécurité de référence.

Comment garder le PAS à jour ?

Utilisez un outil de gestion (type plateforme SaaS) qui intègre les évolutions réglementaires, les incidents et les changements d’architecture, avec relances automatiques pour les revues périodiques.