Comment élaborer un Plan d’Assurance Sécurité (PAS) pour l’externalisation ?
Objectifs du Plan d’Assurance Sécurité (PAS)
Le Plan d’Assurance Sécurité (PAS) a pour but de préciser comment les prestataires se conforment aux exigences de cybersécurité définies par le maître d’ouvrage pour ce qui concerne leur organisation et leur système d’information (SI). Chaque co-traitant ou sous-traitant concerné par la cybersécurité doit élaborer un PAS.
Cette démarche doit être initiée en amont de l’externalisation, c’est-à-dire avant le processus d’achat, dès l’appel d’offre. Le PAS permet à un donneur d’ordre de solliciter auprès de ses fournisseurs des règles de sécurité informatique qu’il impose, et par conséquent les garanties souhaitées. A l’heure de la toute-puissance du cloud, ce type de document se généralise, en lien avec la Politique de Sécurité des Systèmes d’Information (PSSI), notamment le volet pour les fournisseurs.
Exemple de table des matières pour le contenu d’un PAS
- Présentation du document
– Objet
– Glossaire et définitions
– Documents de référence et associés - Description de la prestation
- Exigences de sécurité
Sécurité des ressources humaines
– Recrutement
– Gestion des arrivées départ
– Sensibilisation et formation à la SSI
Gestion des actifs
– Cartographie des actifs
– Classification des actifs
– Protection des informations
Gestion des accès logiques
– Droits d’accès aux ressources
– Contrôle d’accès logique aux SI
– Gestion des habilitations
– Gestion des sessions inactives
– Traçabilité des accès
Gestion des identifiants/authentifiants
– Gestion des mots de passe
– Gestion des certificats électroniques
Sécurité physique
– Contrôle d’accès physique aux locaux
– Traçabilité des accès physiques aux locaux
– Protection des zones de sécurité physique
Sécurité de l’exploitation des SI
– Durcissement des ressources informatiques
– Sauvegardes et restauration
– Documentation des ressources informatiques
– Gestion des correctifs de sécurité
– Lutte contre les codes malveillants
– Administration des SI
Sécurité des communications
– Politique de sécurité des communications
– Sécurisation des transmissions de données
– Accès à distance aux SI
– Accès au réseau interne depuis des équipements non maîtrisés
Sécurité des développements
– Règles de développement
– Cloisonnement des environnements
– Données d’essai
– Gestion des évolutions
Maintenance des SI
– Maintien du niveau de sécurité des SI
– Sécurité de la maintenance des SI
– Mise au rebut
Relation avec les tiers
– Gestion de la sécurité avec les sous-traitants
Gestion des incidents et des alertes
– Veille et gestion des vulnérabilités techniques
– Détection et dispositif de gestion des incidents
– Journalisation des incidents et des alertes
– Gestion de crise
Gestion de la continuité d’activité
– Définition, mise en œuvre et maintien du plan de continuité d’activité
– Protection des données de sauvegarde
Mise à jour des systèmes et logiciels
– Sécurité des postes de travail
– Utilisation de terminaux personnels
– Privilèges des utilisateurs sur les postes de travail
– Stockage des informations
– Protection des données critiques
– Configuration du navigateur internet
Gestion de la documentation
– Référentiel documentaire
– Gestion de la documentation
Contrôle et évaluation
– Contrôles récurrents de conformité à la PSSI
– Audits ponctuels de conformité à la PSSI
– Reporting SSI
- Organisation de la sécurité
- Responsabilités liées au PAS
- Procédures d’évolution du PAS
- Mesures de sécurité
- Couverture des exigences de sécurité
- Documentation de suivi
La mise en œuvre d’un PAS
Côté donneur d’ordre, il s’agit de réclamer successivement un Plan d’Assurance Sécurité (PAS), puis de définir un questionnaire pour le contrôle sur une base déclarative. Il convient ensuite d’établir une méthodologie d’analyse d’écart entre le PAS et l’état des pratiques, prenant en compte les contraintes internes et externes (contrats, bonnes pratiques). Le Plan d’Assurance Sécurité est à la fois un document juridique et technique. Il est devenu nécessaire pour tous les prestataires de services informatiques souhaitant rassurer leur client, notamment les sous-traitants au sens du RGPD, à qui on transfère des données personnelles.
Nos partenaires certifiés accompagnent les entreprises dans l’élaboration de leur PAS et plus largement d’un référentiel de sécurité. Ils accompagnent les donneurs d’ordre pour définir leurs exigences, obtenir des garanties des acteurs de leur écosystème puis évaluer les écarts entre le déclaratif et la réalité.
La digitalisation des PAS avec le logiciel de cybersécurité et de conformité Make IT Safe
Pour aller plus loin :
- Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques (ANSSI)
- Sous-traitance : Exemple de clauses (CNIL)
- Règlement européen sur la protection des données (RGPD) : un guide pour accompagner les sous-traitants (CNIL)
- Make IT Safe, outil d’aide à la décision, par l’analyse fiable et le pilotage des risques informatiques des fournisseurs et des filiales
- GDPR/RGPD : Et vous, comment évaluez-vous la conformité de vos fournisseurs ?
