30/01/2025
Cybersecurity Insights
FAQ sur la Qualification PACS
L’ANSSI a publié en septembre 2023 un référentiel d’exigences (Version 1.0) s’appliquant aux prestataires qui accompagnent les dirigeants d’organisation, les propriétaires de systèmes et de risques, les responsables de la sécurité des systèmes d’information et leurs équipes dans leurs missions de protection des systèmes d’information. Ce référentiel a fait l’objet d’une phase d’expérimentation par un échantillon de prestataires avant sa publication.
Chez Almond, nous sommes en cours de qualification PACS afin de répondre pleinement à ces exigences. Dans cet article, Florence et François, Managers Gouvernance, Risques et Conformité répondent à toutes vos questions sur ce référentiel.

Quid du sigle « PACS » ?


Que vient attester la qualification PACS ?
Un prestataire par sa qualification PACS démontre aux organismes pour lesquels il œuvre les garanties suivantes :
- Son personnel impliqué sur les prestations PACS dispose d’attestations de compétences sur les activités du référentiels PACS délivrées par des organismes de qualification / centres d’évaluation adoubés par l’ANSSI.
- Les prestations PACS dispensées sont conformes aux exigences définies dans le référentiel PACS.
- Les informations manipulées dans la cadre d’une prestation PACS sont protégées par des moyens adéquats selon leur niveau de sensibilité et le besoin d’en connaître.

Qu'est-ce qu'une prestation PACS ?
Une prestation PACS est une prestation intellectuelle liée à un périmètre défini ayant pour but d’accompagner un organisme dans la sécurisation de son système d’information.
Le référentiel PACS couvre 4 activités de conseil :
- Conseil en homologation de sécurité des systèmes d’information
- Conseil en gestion des risques de sécurité des systèmes d’information
- Conseil en sécurité des architectures des systèmes d’information
- Conseil en préparation à la gestion de crise d’origine Cyber
Un organisme ayant recours à une prestation PACS peut demander d’appliquer tout ou partie de ces activités. Toutefois, le conseil en homologation de sécurité implique nécessairement la réalisation d’une appréciation de risques et donc de sélectionner également l’activité de conseil en gestion des risques.

Qu’est-ce qui différencie une prestation PACS d’une prestation de conseil Gouvernance, Risques et Conformité (GRC) classique ?
Une prestation qualifiée PACS se distingue d’une prestation GRC par :
1. Un engagement contractuel réciproque codifié.
Toute prestation PACS fait l’objet d’une convention de service signée par les deux parties. La convention de service précisera les objectifs, champs et critères de la prestation, son périmètre technique et organisationnel, les dates et lieux des activités, les informations sur les réunions d’ouverture et de clôture de la prestation, la constitution de l’équipe, le niveau de sensibilité des données récupérées et l’anonymisation/destruction des constats et des résultats. En fin de prestation, Le commanditaire d’une prestation PACS établit une attestation de conformité de la prestation par rapport aux objectifs de la convention de service. Si la prestation n’a pas atteint les objectifs escomptés, le prestataire PACS peut être amené à revoir sa copie.
2. L’engagement du prestataire sur les consultants.
Chaque consultant de l’équipe de prestation doit disposer d’une attestation individuelle de compétences pour les activités qui lui sont affectées au cours de la prestation et cette attestation doit être fournie au commanditaire en annexe de la convention de service.
3. L’engagement du prestataire sur la profondeur et la qualité des prestations et des livrables.
L’équipe de prestation doit respecter les exigences du référentiel PACS sur les activités de conseil conduites lors de la prestation. Les prestations requises par le référentiel PACS sont plus exigeantes qu’une prestation GRC lambda.
Ainsi, pour les activités de conseil en homologation de sécurité et gestion de risques, une phase d’évaluation critique de l’homologation de sécurité et de l’appréciation des risques est à mener. Les activités de gestion de crise ne se limitent pas à la réalisation d’un exercice de crise et la formalisation d’un dispositif de gestion de crise, elles peuvent se suppléer de la formalisation de dispositifs de continuité d’activité (Plan de Continuité d’Activité, Plan de Reprise Informatique…) ou d’audit des dispositifs existants au sein de l’organisme. Il est attendu du prestataire une forte traçabilité des échanges et des réunions de validation avec le bénéficiaire de la prestation.
Les résultats de la prestation doivent se matérialiser dans un rapport de prestation qui synthétise les livrables des différentes prestations, met en exergue les limites du périmètre et des résultats et donne l’occasion au prestataire de formuler des recommandations générales destinées à conseiller le bénéficiaire sur des actions complémentaires qui seraient pertinentes pour améliorer la sécurité de son système d’information.
4. Les prérequis à remplir par le bénéficiaire de la prestation
L’organisme bénéficiant de la prestation PACS n’est pas en reste car à travers la convention de service, il s’engage à :
- Fournir les documents identifiés dans l’inventaire des prérequis pour la réalisation de la prestation.
- Remettre une liste des interlocuteurs pertinents au prestataire et s’assurer de leur disponibilité pendant la prestation.
- Recueillir l’accord des tiers dont les SI entrent dans le périmètre pour accéder à leurs informations.
- Octroyer tous les accès logiques et physiques nécessaires à la bonne conduite de la prestation.
- Informer le prestataire en cas de manquement à la convention.

Pourquoi devenir prestataire PACS ?
La qualification PACS permet à tout prestataire de conseil en sécurité des systèmes d’information de promouvoir la qualité de ces prestations et de cibler des marchés qui exigeront à l’avenir ce type de qualification (administrations publiques, secteurs défense…).
Pour des sociétés de conseil qui pratiquaient déjà des prestations GRC, la marche n’est pas si importante à gravir en augmentant d’un cran le niveau d’exigence appliqué sur leurs prestations homologation, risques, architecture et crise et en engageant une démarche de qualification auprès de l’ANSSI sur une prestation témoin adaptée (≈ 25 jours-hommes).

Pourquoi demander la réalisation d'une prestation PACS ?
- La labellisation PACS de votre prestation apporte une plus grande légitimité, profondeur et qualité des conseils en sécurité des systèmes d’information qui vous sont prodigués.
- Vous êtes protégés par la convention de service à laquelle vous pouvez vous référer si la prestation ne répond pas aux objectifs que vous vous étiez fixés avec le prestataire PACS.
- En cas d’audit de vos systèmes d’information, vous pouvez souligner à l’auditeur que vous vous êtes fait accompagner par des prestataires PACS sur les axes homologation, appréciation des risques, sécurité de votre architecture et gestion de crise et soumettre à l’auditeur le rapport de prestation PACS.

Source

Florence EXMELIN
Manager Governance, Risks & Compliance

François EHLY
Manager Governance, Risks & Compliance qualifié PACS