Tout savoir sur le Plan d'Assurance Sécurité

Table des matières afficher

Le Plan d’Assurance Sécurité (PAS) est un document contractuel qui définit les engagements et les mesures qu’un prestataire met en place pour protéger les données et les systèmes du maître d’ouvrage, qui permet d’assurer la conformité et vise à réduire les risques opérationnels et juridiques. Le PAS précise qui fait quoi, quelles protections sont appliquées et quelles garanties sont offertes pour sécuriser les traitements et les accès.

Il présente le contexte réglementaire, les objectifs de sécurité, les contrôles techniques et organisationnels, ainsi que les règles de gestion des incidents et de continuité. Ce cadre aide le maître d’ouvrage à évaluer la maturité sécurité du prestataire, à contrôler les responsabilités et à exiger des preuves de conformité.

Élément clé	But	Résultat attendu
Engagements contractuels	Formaliser les obligations	Traçabilité et responsabilité
Mesures techniques	Protéger les systèmes	Réduction des vulnérabilités
Gestion des incidents	Réagir et restaurer	Continuité et notification
Conformité	Respecter exigences légales	Preuves et audits réguliers

À retenir :

Le PAS définit obligations et garanties de sécurité entre parties.
Il combine mesures techniques, organisationnelles et procédures d’incident.
Il sert d’outil d’évaluation et de preuve pour la conformité et la gestion des risques.

Quel est le plan d’assurance sécurité et quels en sont les enjeux ?

Un groupe de professionnels en réunion autour d'une table de conférence dans un bureau moderne, discutant de documents et de diagrammes liés à la sécurité.

Le plan d’assurance sécurité (PAS) est un document contractuel qui décrit les mesures, responsabilités et garanties mises en place par un prestataire pour protéger les données et les systèmes d’un client. Il fixe des exigences mesurables, la traçabilité des actions, et les indicateurs de conformité pour réduire les risques opérationnels et juridiques liés à l’externalisation.

Le PAS précise l’étendue de la prestation, les contrôles d’accès, la gestion des incidents, la conservation et la protection des données. Il sert de preuve écrite des engagements du fournisseur sur des points concrets : authentification multifactorielle, chiffrement des données au repos et en transit, sauvegardes avec délais de restauration (RTO/RPO), et obligations de notification en cas d’incident. Points clés : définition des responsabilités, règles de sous-traitance, niveaux de service sécurité et modalités d’audit. Erreur fréquente : confondre engagements déclarés et moyens démontrables ; il faut prévoir des preuves (logs, rapports d’audit, tableaux de bord).

Qu’est-ce qu’un plan d’assurance sécurité ?

Le PAS est un document contractuel par lequel un prestataire décrit comment il respecte les exigences de sécurité imposées par le donneur d’ordre. Il couvre l’organisation, les contrôles techniques et les procédures opérationnelles nécessaires pour protéger les systèmes et les données.

Détails pratiques :

Contenu typique : description de la prestation, gouvernance sécurité, gestion des accès, gestion des vulnérabilités, sauvegardes, continuité d’activité, journalisation et réponse aux incidents.
Exemples concrets : politiques de gestion des habilitations, procédure de rotation des sauvegardes, SLA de restauration (ex. RTO = 4 h, RPO = 1 h selon contrat).
Points de vigilance : demander des preuves (rapports d’audit, certificats), définir des indicateurs mesurables et calendriers d’amélioration.
Risque juridique : absence de preuves peut rendre les engagements non opposables en cas d’incident.

De quelle façon le PAS diffère-t-il de la PSSI et d’autres documents de sécurité ?

Le PAS décrit les engagements contractuels d’un prestataire envers un client. La PSSI (Politique de Sécurité des Systèmes d’Information) est un document interne qui définit la stratégie, les règles et l’organisation de sécurité d’une entité. Les deux se complètent mais n’ont pas la même portée juridique ni les mêmes destinataires.

Comparatif synthétique :

Élément	PAS	PSSI	Autres (procédures, guides)
Objet	Engagement contractuel vers un tiers	Politique interne de l’organisation	Modes opératoires détaillés
Responsabilité	Prestataire vis-à-vis du client	Direction de l’entité	Équipes opérationnelles
Risque juridique	Obligations opposables	Référence interne	Preuves techniques
Livrables	SLA sécurité, preuves d’audit	Principes, règles	Procédures, checklists
Cas pratique : choisir le PAS pour contractualiser des niveaux de service; conserver la PSSI pour piloter la sécurité interne. Recommandation : lier explicitement dans le contrat les exigences PSSI applicables au prestataire via le PAS afin de sécuriser la responsabilité et les modalités d’audit.

Pourquoi le PAS est-il devenu incontournable dans les appels d’offres et l’externalisation ?

Le PAS est devenu central car il transforme des exigences de sécurité en engagements mesurables et vérifiables entre donneur d’ordre et prestataire. Il protège la valeur et la confidentialité des données, répond aux obligations de conformité et limite l’exposition aux incidents cyber et aux sanctions.

Éléments concrets :

Usage courant : demandé dès l’appel d’offres pour évaluer la capacité du candidat à respecter la protection des données.
Conséquences opérationnelles : inclusion d’indicateurs (taux de disponibilité, temps moyen de détection), audits réguliers et droit de vérification.
Point de vigilance contractuel : définir sanctions et plans de remédiation en cas de non-conformité.
Exemple chiffré : exigence possible de sauvegardes quotidiennes conservées 90 jours et RTO ≤ 24 h pour services critiques.
Erreur fréquente : accepter des engagements vagues sans preuves d’efficacité. Recommandation stratégique : demander un PAS détaillé et des contrôles périodiques pour réduire le risque opérationnel et les litiges.

Quel est le cadre réglementaire et contractuel du plan d’assurance sécurité ?

Des professionnels en réunion autour d'une table de conférence avec des documents et des écrans affichant des diagrammes liés à un plan d'assurance sécurité.

Le plan d’assurance sécurité (PAS) fixe les engagements de sécurité opposables entre le maître d’ouvrage et le prestataire pour les services externalisés, y compris les offres SaaS et l’infogérance. Il s’appuie sur le RGPD, des normes comme ISO 27001 et les exigences spécifiques des donneurs d’ordres, et il s’intègre comme pièce contractuelle au sein du marché ou contrat.

Quelles sont les références clés : RGPD, normes ISO 27001 et exigences des donneurs d’ordres ?

Le PAS doit traduire les obligations du RGPD (protection des données, droits des personnes, sécurité des traitements) et les contrôles d’un système ISO 27001 quand ils s’appliquent. Il précise les mesures techniques et organisationnelles, les rôles (responsable de traitement, sous‑traitant) et les délais de notification en cas de violation.

Détails pratiques :

Points exigés RGPD : base juridique des traitements, finalités, durée de conservation, mesures de sécurité adaptées, registre des activités si demandé.
ISO 27001 : intégration des objectifs de sécurité, scope du SMSI, procédures d’audit et indicateurs (KPI) de conformité.
Exigences des donneurs d’ordres : localisation des données, chiffrement, contrôle d’accès, tests d’intrusion, preuves d’audit. Exemple chiffré fréquent : délai de notification d’une violation souvent contractuelisé à 72 heures pour correspondre aux obligations RGPD.
Point de vigilance : préciser si le prestataire est sous‑traitant ou co‑responsable, car la responsabilité juridique et les obligations opérationnelles diffèrent.

Quel est le rôle du PAS dans les marchés publics et les contrats de services numériques ?

Le PAS devient une annexe contractuelle exigée lors de l’appel d’offres pour juger les capacités de sécurité des candidats. Il sert de critère d’attribution, de preuve d’engagement et de base pour les contrôles et sanctions contractuelles en cas de non‑respect.

Explications opérationnelles :

Dans un marché public, le PAS est annexé au contrat et engage le titulaire ; il doit respecter les exigences du Code de la Commande Publique applicables au marché.
Pour les services SaaS et l’infogérance, le PAS décrit la continuité de service, les niveaux de service (SLA) liés à la sécurité et les procédures d’escalade. Tableau comparatif synthétique (extrait) : | Élément | Marché public | Contrat SaaS / infogérance | |—|—:|—| | Statut du PAS | Annexe contractuelle obligatoire | Annexe ou annexe technique | | Responsabilité principale | Titulaire du marché | Prestataire / hébergeur | | Sanctions | Réparations, résiliation possible | Pénalités SLA, résiliation | Point clé : vérifier les clauses de contrôle et d’audit, et prévoir des droits d’accès aux preuves (logs, rapports de test).

De quelle façon le PAS s’articule avec les autres pièces du marché ou du contrat ?

Le PAS doit indiquer sa place précise parmi les documents contractuels et la hiérarchie des pièces en cas de contradiction. Il complète la PSSI du client, le cahier des charges technique et les SLA, et précise les responsabilités de chaque acteur.

Éléments concrets à intégrer :

Clause de hiérarchie : ordre de priorité entre contrat cadre, cahier des charges, PAS et annexes.
Matrice de responsabilités (RACI) : qui réalise, qui valide, qui audite pour chaque contrôle de sécurité.
Livrables liés : plans de reprise d’activité, rapports d’audit, preuves de tests d’intrusion, certificats ISO. Exemple de matrice synthétique : | Activité | Responsable | Livrable | Risque si non fait | |—|—:|—|—| | Sauvegarde chiffrée | Prestataire | Procédure + rapport trimestriel | Perte de données | | Notification violation | Prestataire | Rapport incident 72h | Sanctions RGPD | Point de vigilance contractuel : prévoir clauses de mise à jour du PAS (fréquence, gouvernance) et modalités en cas de sous‑traitance pour garantir traçabilité et conformité.

Quels sont les objectifs principaux d’un plan d’assurance sécurité ?

Un groupe de professionnels en réunion dans un bureau lumineux, discutant autour d'une table avec des documents et des tablettes liés à la sécurité.

Le plan d’assurance sécurité vise à protéger les données, prouver la conformité et organiser la gestion des risques et des crises. Il précise les engagements techniques et organisationnels, les rôles, les procédures de remédiation et les indicateurs de suivi pour garantir confidentialité, intégrité et disponibilité.

Comment garantir la confidentialité, l’intégrité et la disponibilité des informations ?

Le PAS définit les mesures précises pour protéger les données sensibles, limiter les accès et assurer la continuité des services. Il décrit les contrôles d’accès, le chiffrement, la sauvegarde, la journalisation et les SLA de disponibilité.

Développements :

Mesures techniques : chiffrement des données au repos et en transit (AES-256 ou équivalent), segmentation réseau, pare-feu et gestion des correctifs avec cycles <= 30 jours pour vulnérabilités critiques.
Contrôles d’accès : authentification forte (MFA), gestion des comptes à privilèges, procédures de révocation sous 24 heures.
Sauvegardes et disponibilité : sauvegarde quotidienne, rétention minimale 30 jours, test de restauration trimestriel; objectifs de RTO/RPO définis (ex. RTO ≤ 4 heures, RPO ≤ 1 heure selon criticité).
Surveillance et traçabilité : journalisation centralisée, détection d’intrusion, alerting 24/7 avec procédures d’escalade.
Points clés : choisir des seuils RTO/RPO adaptés aux services critiques, documenter la politique de sécurité et tenir à jour la matrice des accès.

Pourquoi démontrer la conformité aux exigences de sécurité du client ?

Le PAS sert de preuve écrite des engagements de sécurité et facilite la contractualisation avec le client. Il liste les contrôles, les certifications et les rapports de conformité demandés.

Développements :

Contenu contractuel : énumération des exigences clients (confidentialité, SLA, audits), livrables de preuve (rapports d’audit, attestations ISO/IEC 27001, preuves de chiffrement).
Preuves opérationnelles : rapports de tests d’intrusion, résultats de scans de vulnérabilités, fiches de conformité RGPD pour traitements de données personnelles.
Fréquences et délais : production de rapports trimestriels ou à la demande, délais de remontée d’incidents (ex. notification sous 72 heures pour violations de données).
Point de vigilance : prévoir clauses NDA et modalités d’accès pour audits tiers; négocier limites de responsabilité liées aux incidents.
Encadré “Erreur fréquente” : confondre la simple déclaration d’intention avec des preuves opérationnelles — le client attend des éléments mesurables et datés.

De quelle façon organiser la gestion des risques et la réponse aux incidents ?

Le PAS formalise l’identification des risques, les mesures de mitigation et les procédures de gestion de crise. Il définit qui agit, comment et en combien de temps.

Développements :

Processus de gestion des risques : inventaire des actifs, évaluation des risques, classification par criticité, plan de traitement avec priorités et responsables.
Plan de réponse aux incidents : détection, confinement, analyse, rémédiation, communication; rôles (RSSI, équipe IT, communication), étapes et délais (ex. confinement sous 2 heures pour incident critique).
Exercices et tests : simulations annuelles de gestion de crise, jeux de rôles pour communication de crise, revue post-incident avec plan d’action correctif.
Tableau synthétique (Responsabilités / Livrables / Délais) : | Responsabilité | Livrable | Délai | |—————|———:|——:| | RSSI | Rapport d’incident détaillé | 48 heures | | Équipe IT | Contention et correction | 2-24 heures selon criticité | | Direction | Communication vers clients | 72 heures | Risques juridiques mal anticipés : absence de procédure de notification réglementaire peut entraîner sanctions. Recommandation pratique : intégrer la gestion de crise dans la politique de sécurité et tester les procédures régulièrement.

Quel contenu type doit-on trouver dans un plan d’assurance sécurité ?

Un groupe de professionnels en réunion autour d'une table, discutant d'un plan d'assurance sécurité dans un bureau moderne.

Un plan d’assurance sécurité précise les actifs concernés, les responsabilités, les mesures techniques et les procédures de gestion d’incidents, continuité et reprise. Il liste les contrôles (authentification, chiffrement, gestion des accès), décrit la gouvernance, et fournit des tests et indicateurs pour vérifier l’efficacité des mesures.

Qui définit le périmètre, les responsabilités et la gouvernance de la sécurité dans le PAS ?

Le maître d’ouvrage définit le périmètre et les rôles, tandis que le fournisseur détaille les responsabilités opérationnelles et la gouvernance. Le PAS doit indiquer clairement l’étendue des services, les actifs couverts, et les interlocuteurs responsables pour chaque domaine de sécurité.

Détails et éléments à inclure :

Identification des actifs : serveurs, bases de données, postes, applications, données personnelles. Inclure un inventaire signé et daté.
Périmètre fonctionnel et géographique : services cloud, onsite, datacenters, sous-traitants tiers.
Rôles et responsabilités : tableau structuré précisant qui fait quoi (maître d’ouvrage, fournisseur, sous-traitant).
Gouvernance : comités, périodicité des revues, indicateurs (KPI) de sécurité, rapportage en Comité Sécurité. Exemple de KPI : temps moyen de correction des vulnérabilités ≤ 30 jours.
Points contractuels : SLA sécurité, obligations de notification des incidents sous 72 heures, audits, preuve de conformité (preuves d’exécution, logs).
Erreur fréquente : périmètre vague entraînant lacunes sur la protection des données sensibles.
Point de vigilance : définir l’interface de gestion des accès et la procédure de délégation pour les sous-traitants.

Quelles mesures techniques et organisationnelles doit décrire le PAS ?

Le PAS décrit les contrôles techniques (pare-feu, antivirus, chiffrement) et les mesures organisationnelles (sensibilisation, gestion des accès, politiques) pour protéger les systèmes et les données.

Exemples concrets à inscrire :

Contrôles techniques : pare-feu périmétrique, segmentation réseau, antivirus/EDR, gestion des correctifs, sauvegardes chiffrées, authentification forte (MFA), chiffrement des données au repos et en transit.
Gestion des accès : principe du moindre privilège, revues trimestrielles des droits, journalisation des accès, gestion des comptes à privilèges.
Tests et surveillance : scans de vulnérabilités mensuels, tests d’intrusion annuels, SIEM avec alertes critiques configurées.
Sensibilisation : programme annuel de formation, taux de complétion attendu ≥ 90%, campagnes de phishing simulées.
Tableau comparatif (exemple synthétique) :

Contrôle	Responsabilité	Fréquence
Patchs OS	Fournisseur	Mensuel
Tests d’intrusion	Fournisseur/3rd party	Annuel
Revues d’accès	Maître d’ouvrage & Fournisseur	Trimestriel

Recommandation : prioriser chiffrement et MFA pour les accès administratifs et les données sensibles.
Risque juridique : absence d’authentification forte augmente le risque de violation de données.

Comment sont traitées les procédures de gestion des incidents, de continuité et de reprise d’activité ?

Le PAS détaille les étapes de détection, notification, réponse, et restauration, avec rôles, délais et exercices. Il inclut les règles de communication, les SLA et les plans de reprise validés par tests.

Éléments pratiques à inclure :

Plan de réponse aux incidents : détection (SIEM), classification (critique / majeur / mineur), contacts d’escalade et actions immédiates.
Délais et obligations : notification initiale en 24 heures et rapport détaillé sous 72 heures (chiffrer ces délais contractualisés).
Continuité d’activité : procédures de basculement, RTO (objectif de temps de reprise) et RPO (objectif de perte de données). Exemple : RTO ≤ 4 heures pour services critiques, RPO ≤ 1 heure.
Reprise d’activité : étapes de restauration, priorisation des services, validation post-reprise, tests semestriels.
Tableaux synthétiques (exemple d’un segment) :

Phase	Action	Durée cible
Détection	SIEM alerte	< 15 min
Notification	Alerte aux parties	≤ 24 h
Contention	Isolement des systèmes	≤ 2 h
Reprise	Restauration depuis sauvegarde	RTO cible

Sensibilisation et exercices : jeux de rôle annuels, rapports d’exercices, actions correctives documentées.
Point de vigilance : vérifier que les sauvegardes sont chiffrées et stockées hors site.

Comment élaborer un plan d’assurance sécurité efficace ?

Un groupe de professionnels en réunion autour d'une table de conférence, travaillant sur un plan de sécurité avec des ordinateurs et un écran affichant des diagrammes.

Un plan d’assurance sécurité efficace commence par une analyse précise des risques, s’appuie sur un cahier des charges clair et des référentiels internes, et mobilise les équipes techniques, juridiques et métiers pour garantir la conformité opérationnelle et contractuelle.

Comment analyser les risques et les exigences de sécurité du donneur d’ordres ?

Il faut identifier, classer et évaluer les risques liés aux actifs, aux flux de données et aux prestataires pour définir les protections nécessaires et les niveaux de contrôle attendus par le donneur d’ordre. Pour cela, réaliser une analyse des risques chiffrée : inventorier les actifs (données, applications, infrastructures), évaluer la vraisemblance et l’impact (ex. perte de disponibilité >72h = incident critique) puis attribuer un niveau de risque (faible / moyen / élevé). Intégrer les exigences du donneur d’ordre : classification des données, contraintes de localisation, obligations de journalisation et temps de rétablissement (RTO/RPO). Produire une matrice risques/maîtrises qui lie chaque risque à des mesures (contrôles techniques, organisationnels, contractuels). Inclure des métriques de suivi : nombre de vulnérabilités critiques, délais moyens de correction, taux de conformité aux habilitations. Point de vigilance : ne pas limiter l’analyse aux seuls SI ; couvrir la chaîne d’approvisionnement et les sous-traitants.

De quelle façon structurer le PAS à partir du cahier des charges et des référentiels internes ?

Le PAS doit traduire les exigences contractuelles et les règles internes en mesures concrètes, documentées et vérifiables. Commencer par une table des matières alignée sur les attentes du donneur d’ordre (sécurité des accès, gestion des incidents, continuité, maintenance, relations tiers). Pour chaque exigence du cahier des charges, préciser : exigence, contrôle associé, preuve attendue (procédure, journal, rapport d’audit), fréquence de vérification et responsable. Proposer un tableau récapitulatif structuré pour comparer obligations / contrôles / preuves. Exemple de lignes : contrôle d’accès — MFA obligatoire — preuve : journal d’authentification — fréquence : mensuelle — responsable : RSSI. Intégrer les référentiels internes (PSSI, procédures d’exploitation) et les standards externes pertinents. Erreur fréquente : rédiger des principes vagues sans critères de vérification. Recommandation : privilégier des exigences mesurables et des preuves objectives.

Qui doit être impliqué dans la rédaction : équipes techniques, juridiques et métiers ?

Il est essentiel d’impliquer les équipes techniques pour les mesures opérationnelles, les juristes pour les obligations contractuelles et les métiers pour les contraintes fonctionnelles et de données. Organiser des ateliers dédiés : 1) atelier technique pour définir les protections (chiffrement, sauvegardes, durcissement, gestion des correctifs) ; 2) atelier juridique pour intégrer clauses contractuelles, SLAs et exigences de conformité RGPD ; 3) atelier métier pour cartographier les données sensibles et définir niveaux de service. Définir responsabilités claires : technique = mise en œuvre, juridique = contrôle contractuel, métiers = validation des impacts. Inclure un tableau synthétique des rôles si utile (Responsabilité / Livrable / Fréquence de mise à jour). Point de vigilance : formaliser la gouvernance du PAS (pilote, comité de revue, fréquence des revues) pour éviter l’obsolescence et garantir la gestion continue de la sécurité.

Comment mettre en œuvre et faire vivre le plan d’assurance sécurité ?

Une équipe de professionnels en réunion dans une salle de conférence moderne, collaborant sur un plan d’assurance sécurité avec des écrans et des documents.

Le plan s’applique par des actions claires : déployer les mesures, mesurer la performance avec des indicateurs, mettre à jour le document quand le SI ou le contrat change, et accepter les audits demandés par le client. Ces tâches impliquent le prestataire, les sous-traitants, co-traitants et fournisseurs, avec responsabilités et preuves formelles à chaque étape.

Comment déployer les mesures prévues et suivre les indicateurs de sécurité ?

Le prestataire met en place les contrôles techniques et organisationnels décrits dans le PAS, puis suit des indicateurs précis pour vérifier l’efficacité.

Déploiement concret :

Planifier les actions par lots (réseau, accès, sauvegarde, chiffrement) avec dates et responsables.
Assigner les tâches au fournisseur, au co-traitant ou au sous-traitant et valider les preuves (logs, captures d’écran, rapports d’installation). Indicateurs à suivre (exemples) :
Taux de correctifs appliqués en 30 jours (%),
Nombre d’incidents critiques par trimestre,
Temps moyen de détection (MTTD) et de remédiation (MTTR) en heures. Tableau de suivi simplifié : | Indicateur | Cible | Fréquence | |—|—:|—:| | Correctifs 30j | ≥ 95% | Mensuel | | Incidents critiques | 0 | Trimestriel | | MTTD | ≤ 24 h | Mensuel | Points clés de contrôle :
Exiger preuves signées des sous-traitants.
Automatiser la collecte d’indicateurs via SIEM ou outils de supervision.
Faire des revues mensuelles pour ajuster les actions.

Quand et comment mettre à jour le PAS en cas d’évolution du système d’information ou du contrat ?

Le PAS est révisé à chaque changement significatif du SI, de l’organisation ou du périmètre contractuel, selon une procédure formelle.

Procédure recommandée :

Déclenchement : modification d’architecture, ajout d’un co-traitant, ou extension de service.
Analyse d’impact en 5 jours ouvrés : identifier nouveaux risques et mesures à ajouter.
Validation : version révisée signée par le fournisseur et le donneur d’ordre; annexation au contrat si nécessaire. Éléments à documenter :
Liste des changements, évaluation des risques, mesures ajoutées, responsabilités mises à jour, planning de déploiement. Cas pratique :
Si un sous-traitant cloud est ajouté, le PAS doit préciser l’hébergement, les accès, les SLA de sauvegarde et les preuves de conformité fournies par ce sous-traitant. Point de vigilance : conserver l’historique des versions et exiger engagements écrits des fournisseurs pour éviter des divergences de responsabilité.

Qui réalise les audits, contrôles et revues de sécurité demandés par le client ?

Le prestataire organise les audits internes et facilite les audits externes demandés par le client, en impliquant sous-traitants et fournisseurs concernés.

Organisation :

Audits internes réguliers menés par l’équipe sécurité du prestataire.
Audits tiers ou clients planifiés avec calendrier et périmètre définis contractuellement. Preuves et livrables :
Rapports d’audit, plans d’action, preuves de remédiation, et attestations des sous-traitants.
Accès contrôlé aux environnements pour les auditeurs, avec conditions de confidentialité. Comparatif des types d’audit : | Type d’audit | Réalisé par | Résultat attendu | |—|—|—| | Interne | Prestataire | Plan d’action interne | | Pilote client | Client ou auditeur mandaté | Rapport et non-conformités | | Tierce partie | Cabinet indépendant | Certification ou attestation | Points de vigilance juridiques :
Définir dans le contrat les droits d’audit, les délais de notification (ex. 15 jours), et les obligations de remédiation (ex. 30 jours pour critiques).
S’assurer que les sous-traitants acceptent ces audits et fournissent leurs propres preuves.

Questions fréquentes

Une femme d'affaires examinant des documents dans un bureau moderne lumineux, avec des symboles de sécurité en arrière-plan.

Ceux qui lisent cette section trouveront des réponses claires sur le contenu, la souscription, la personnalisation, les exclusions, la gestion des réclamations et le renouvellement du Plan d’Assurance Sécurité. Les réponses donnent des directives concrètes pour les clients, avec étapes, chiffres et points de vigilance contractuels.

Quels sont les éléments couverts par le Plan d’Assurance Sécurité?

Le Plan d’Assurance Sécurité couvre les mesures techniques, organisationnelles, procédurales et physiques mises en place par le prestataire pour protéger les données et le système d’information pendant l’exécution du contrat. Il définit les engagements mesurables, les responsabilités, les contrôles d’accès, la gestion des incidents et la surveillance continue.

Développement détaillé :

Exemples concrets : inventaire des actifs, chiffrement des données, sauvegardes journalières, gestion des accès par rôle (RBAC), journalisation des événements.
Étapes typiques : identification des actifs → évaluation des risques → mesures techniques et procédures → tests/ audits → surveillance.
Chiffres utiles : fréquence des sauvegardes (quotidienne ou hebdomadaire), RTO/RPO contractuels (ex. RTO ≤ 24 h, RPO ≤ 4 h), SLA de disponibilité (ex. 99,9%).
Point de vigilance contractuel : préciser les indicateurs mesurables (KPI) et les pénalités en cas de non-respect.
Erreur fréquente : laisser des responsabilités vagues entre client et prestataire pour les sauvegardes ou la restauration.

Comment peut-on souscrire au Plan d’Assurance Sécurité?

Le client souscrit au Plan d’Assurance Sécurité en l’exigeant lors de l’appel d’offres ou en l’annexant au contrat de prestation, puis en validant les engagements détaillés du prestataire avant signature. La validation formelle inclut l’examen des preuves (politiques, preuves d’audit, certificats) et la négociation des niveaux de service.

Développement détaillé :

Étapes : demander le PAS dans le dossier de consultation → analyser les engagements → demander preuves (ISO 27001, rapports d’audit) → négocier SLA/KPI → annexer le PAS au contrat.
Documents à demander : PSSI interne, résultats d’audits, attestations de formation, procédures d’escalade.
Délai recommandé : prévoir 2–6 semaines pour validation selon la complexité.
Point de vigilance : vérifier les sous-traitants et les flux transfrontaliers des données.
Risque juridique mal anticipé : absence de clause de contrôle et d’audit par le client.

Existe-t-il des options de personnalisation pour le Plan d’Assurance Sécurité?

Oui. Le PAS peut être adapté aux exigences du client par niveaux de service, périmètre des actifs, mesures de sécurité spécifiques et modalités de contrôle et d’audit. La personnalisation doit être formalisée en annexe avec indicateurs, responsabilités et coûts associés.

Développement détaillé :

Exemples de personnalisation : renforcement du chiffrement, ISO 27001 versus contrôles internes, backups redondants géo‑répartis, tests d’intrusion réguliers, niveaux d’alerte et notifications.
Tableau synthétique (exemple) :

Élément	Option standard	Option renforcée
Chiffrement	AES-256 au repos	AES-256 + chiffrement côté client
Sauvegarde	Quotidienne	Sauvegarde horaire + rétention 90 jours
Test d’intrusion	Annuel	Trimestriel avec rapport exploit
Audit	Rapport annuel	Audit client semestriel

Indiquer coûts et délais pour chaque option.
Recommandation stratégique : choisir renforcement là où le risque métier est élevé (données sensibles).

Quelles sont les principales exclusions du Plan d’Assurance Sécurité?

Le PAS exclut généralement les incidents causés par des actions du client, les sinistres physiques majeurs hors contrôle du prestataire, et les risques liés aux actes malveillants d’un sous‑traitant non déclaré. Il exclut aussi les impacts dus à des usages non conformes par les clients.

Développement détaillé :

Exemples d’exclusions courantes : mauvaise configuration par le client, divulgation volontaire par un employé du client, catastrophes naturelles sans obligation contractuelle spécifique, attaques dues à logiciels non supportés.
Points clés à vérifier : clauses d’exclusion détaillées, responsabilité du client pour ses comptes et clés d’accès, obligations de notification.
Risque juridique : une exclusion mal formulée peut transférer une responsabilité excessive au client ; négocier limites et plafonds.
Recommandation : définir listes précises d’exclusions et cas de force majeure, avec seuils financiers si pertinent.

Comment fonctionne le processus de réclamation en cas d’incident?

Le client déclenche la réclamation selon la procédure contractuelle : notification écrite immédiate, ouverture d’un ticket d’incident, activation des équipes d’intervention, et rapport d’incident avec mesures correctives. Les délais de réponse et d’escalade doivent figurer dans le PAS.

Développement détaillé :

Étapes standard : détection → notification (ex. sous 2 heures) → diagnostic → confinement → restauration → rapport final.
Indicateurs à définir : délai de prise en charge initiale (ex. 2 h), délai de résolution cible, modalités d’escalade, SLA de communication.
Données chiffrées : délais obligatoires pour notification aux autorités en cas de données personnelles (conformer aux règles applicables).
Point de vigilance contractuel : prévoir droits d’audit post‑incident pour le client et obligations de coopération du prestataire.
Erreur fréquente : absence de modalités précises sur preuves techniques et restitution des logs au client.

Quelles sont les démarches à suivre pour renouveler le Plan d’Assurance Sécurité?

Le renouvellement s’effectue par révision du PAS avant son terme, validation des preuves d’efficacité (rapports d’audit, incidents traités) et mise à jour des engagements en fonction des évolutions techniques et réglementaires. Le processus doit inclure une revue conjointe entre client et prestataire et la signature d’un avenant si des modifications sont apportées.

Développement détaillé :

Point de vigilance : anticiper évolutions réglementaires et intégrer obligations issues du Code de la Commande Publique lorsque pertinent pour les marchés publics.

Étapes : revue annuelle → évaluation des KPI et incidents → proposition de mise à jour → négociation → signature d’avenant.

Délais recommandés : lancer la revue 2–3 mois avant échéance pour négocier changements et prix.

Éléments à vérifier : conformité réglementaire, nouveaux sous‑traitants, changement de périmètre, ajustement des SLA.

Conclusion

Le plan d’assurance sécurité (PAS) est un document contractuel qui formalise les engagements de sécurité pris par un prestataire dans le cadre d’un projet ou d’un marché. Il précise les mesures techniques, organisationnelles et opérationnelles mises en place pour protéger les systèmes d’information, les données et les accès. Son objectif est d’apporter une garantie claire au maître d’ouvrage sur la manière dont la sécurité sera assurée pendant toute la durée de la prestation.

Ce document joue un rôle central dans la gestion des risques liés à l’externalisation ou aux services numériques. Il décrit les contrôles d’accès, les procédures de sauvegarde, la gestion des incidents, la continuité d’activité et les mécanismes de surveillance. En détaillant ces éléments, le PAS permet d’évaluer la maturité sécurité du prestataire et de vérifier que les exigences réglementaires ou contractuelles sont respectées.

Dans un contexte de marchés publics ou de contrats informatiques, le PAS devient également un outil de gouvernance et de preuve. Il établit les responsabilités de chaque acteur, fixe des indicateurs de performance liés à la sécurité et prévoit les modalités d’audit ou de contrôle. Cela permet de garantir la traçabilité des actions et d’anticiper les situations de crise ou de non-conformité.

Ainsi, le plan d’assurance sécurité ne se limite pas à une simple formalisation documentaire. Il constitue un cadre opérationnel qui structure la prévention des risques, la gestion des incidents et la protection des données tout au long du contrat. Lorsqu’il est bien conçu et régulièrement mis à jour, il renforce la confiance entre les parties et sécurise durablement l’exécution des prestations numériques.

Remportez vos Appels d’Offres avec AO Conquête

Je veux remporter des appels d’offres ! 🏆

À propos de l’auteur (Philippe COURTOIS)

Après une première partie de carrière dédiée au commerce et à la vente (Banque LCL, Unilever, groupe Seloger.com) je me suis spécialisé dès 2010 dans la réponse aux appels d’offres, d’abord au sein de grands groupes (Essity, Bureau Veritas, groupe Sonepar) puis en tant que Consultant Marchés Publics dans un cabinet de conseil, avant de participer enfin au lancement des marchés publics pour la Société du Grand Paris dans le cadre du plus grand projet d’infrastructure d’Europe (Grand Paris Express).

C’est fort de cette expertise concrète et issue du terrain que j’ai décidé en 2022 de lancer mon activité et d’accompagner les entreprises souhaitant augmenter leur part de marché sur le secteur public.

► VOIR MON PROFIL LINKEDIN

AO Conquête : 5 raisons de nous confier vos appels d’offres

À propos d’AO Conquête

AO Conquête accompagne les PME souhaitant se positionner efficacement sur les marchés publics afin de gagner en croissance.

Détection des appels d’offres, analyse du dossier de consultation, construction du dossier de réponse, rédaction ou refonte de votre mémoire technique : quel que soit votre secteur d’activité, c’est toute une gamme de solutions clé-en-main que nous proposons pour accompagner votre développement commercial.

► EN SAVOIR PLUS