Appel public à commentaires sur le référentiel d’exigences applicables aux prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS)

Les prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS) ont pour objectif d’assister les responsables de la sécurité des systèmes d’information dans leur mission. Compte tenu de la complexité et de la sensibilité croissantes des systèmes d’information dans leurs dimensions technique, organisationnelle ou encore réglementaire, l’ANSSI a élaboré un référentiel pour apporter aux commanditaires les garanties nécessaires en matière de compétence et de sécurisation de ces prestations.

Publié le 28 Janvier 2021 Mis à jour le 28 Janvier 2021

Face à l’évolution permanente des risques et des réglementations, les organisations peuvent être soutenues dans leurs démarches de gestion des risques et de protection des systèmes d’information dont elles ont la responsabilité. Cet accompagnement est parfois confié à des prestataires externes afin de bénéficier de la main-d’œuvre et d’une expertise souvent difficiles à réunir au sein même de la structure.

Le nouveau référentiel d’exigences applicables à ces prestataires d’accompagnement et de conseil en sécurité des systèmes d'information permet au commanditaire d’une prestation de disposer de garanties sur les compétences et la qualité des prestations.
Il s’intéresse aussi à la confiance que le commanditaire peut leur accorder, en particulier en matière de confidentialité des informations confiées.

Ces activités de sécurisation des systèmes d’information viennent compléter d’autres types d’activités spécifiques de sécurité des systèmes d’information parmi lesquelles l’audit de sécurité, la détection et la réponse aux incidents de sécurité des systèmes d’information, qui font l’objet des référentiels PASSI, PDIS et PRIS de l’ANSSI.

Les exigences formulées par ce référentiel portent aussi bien sur le prestataire lui-même et ses intervenants que sur son processus d’accompagnement et de conseil et que sur la sécurité de son système d’information.

Une première version du référentiel en appel à commentaires

Une première version du référentiel PACS est mise en ligne aujourd’hui dans le cadre d’un appel public à commentaires. Les observations, commentaires et propositions peuvent être transmis jusqu’au 19 mars 2021, de préférence par courriel, à l’adresse qualification[at]ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous. L’ANSSI remercie par avance tous ceux qui répondront à cet appel à commentaires.

A la suite du recueil et de la prise en compte des commentaires, l’ANSSI procédera à une phase expérimentale afin de tester en conditions réelles l’applicabilité de ce référentiel. Elle invite par conséquent les prestataires souhaitant être candidats à cette phase expérimentale à la contacter, de préférence par courriel, à l’adresse ci-dessus.

Enfin, l’ANSSI invite également les organismes tiers qui souhaiteraient être accrédités pour procéder à l’évaluation de la conformité des prestataires d’accompagnement et de conseil en sécurité des SI par rapport à ce référentiel d’exigences à la contacter, de préférence par courriel, à l’adresse ci-dessus.