Comment élaborer un Plan d’Assurance Sécurité (PAS) pour l’externalisation ?

3 Déc 2018
Ludovic De Carcouët
212
0

 

Objectifs du Plan d’Assurance Sécurité (PAS)

Un Plan d’Assurance Sécuité a pour but de préciser comment les prestataires se conforment aux exigences de cybersécurité définies par le maître d’ouvrage pour ce qui concerne leur organisation et leur système d’information. Chaque co-traitant ou sous-traitant concerné par la cybersécurité doit élaborer un PAS.
Cette démarche doit être initiée en amont de l’externalisation, c’est-à-dire avant le processus d’achat, dès l’appel d’offre. Le PAS permet à un donneur d’ordre de solliciter auprès de ses fournisseurs des règles de sécurité informatique qu’il impose, et par conséquent les garanties souhaitées.
A l’heure de la toute-puissance du cloud, ce type de document se généralise, en lien avec la Politique de Sécurité des Systèmes d’Information (PSSI), notamment le volet pour les fournisseurs.

 

Exemple de table des matières pour le contenu d’un PAS

  • Présentation du document
    • Objet
    • Glossaire et définitions
    • Documents de référence et associés
  • Description de la prestation
  • Exigences de sécurité
    • Sécurité des ressources humaines
      • Recrutement
      • Gestion des arrivées départ
      • Sensibilisation et formation à la SSI
    • Gestion des actifs
      • Cartographie des actifs
      • Classification des actifs
      • Protection des informations
    • Gestion des accès logiques
      • Droits d’accès aux ressources
      • Contrôle d’accès logique aux SI
      • Gestion des habilitations
      • Gestion des sessions inactives
      • Traçabilité des accès
    • Gestion des authentifiants
      • Gestion des mots de passe
      • Gestion des certificats électroniques
    • Sécurité physique
      • Contrôle d’accès physique aux locaux
      • Traçabilité des accès physiques aux locaux
      • Protection des zones de sécurité physique
    • Sécurité de l’exploitation des SI
      • Durcissement des ressources informatiques
      • Sauvegardes et restauration
      • Documentation des ressources informatiques
      • Gestion des correctifs de sécurité
      • Lutte contre les codes malveillants
      • Administration des SI
    • Sécurité des communications
      • Politique de sécurité des communications
      • Sécurisation des transmissions de données
      • Accès à distance aux SI
      • Accès au réseau interne depuis des équipements non maîtrisés
    • Sécurité des développements
      • Règles de développement
      • Cloisonnement des environnements
      • Données d’essai
      • Gestion des évolutions
    • Maintenance des SI
      • Maintien du niveau de sécurité des SI
      • Sécurité de la maintenance des SI
      • Mise au rebut
    • Relation avec les tiers
      • Gestion de la sécurité avec les sous-traitants
    • Gestion des incidents et des alertes
      • Veille et gestion des vulnérabilités techniques
      • Détection et dispositif de gestion des incidents
      • Journalisation des incidents et des alertes
      • Gestion de crise
    • Gestion de la continuité d’activité
      • Définition, mise en œuvre et maintien du plan de continuité d’activité
      • Protection des données de sauvegarde
    • Mise à jour des systèmes et logiciels
      • Sécurité des postes de travail
      • Utilisation de terminaux personnels
      • Privilèges des utilisateurs sur les postes de travail
      • Stockage des informations
      • Protection des données critiques
      • Configuration du navigateur internet
    • Gestion de la documentation
      • Référentiel documentaire
      • Gestion de la documentation
    • Contrôle et évaluation
      • Contrôles récurrents de conformité à la PSSI
      • Audits ponctuels de conformité à la PSSI
      • Reporting SSI
  • Organisation de la sécurité
  • Responsabilités liées au PAS
  • Procédures d’évolution du PAS
  • Mesures de sécurité
  • Couverture des exigences de sécurité
  • Documentation de suivi

 

La mise en œuvre d’un PAS

Côté donneur d’ordre, il s’agit de réclamer successivement un Plan d’Assurance Sécurité (PAS), puis de définir un questionnaire pour le contrôle sur une base déclarative. Il convient ensuite d’établir une méthodologie d’analyse d’écart entre le PAS et l’état des pratiques, prenant en compte les contraintes internes et externes (contrats, bonnes pratiques).
Le Plan d’Assurance Sécurité est à la fois un document juridique et technique. Il est devenu nécessaire pour tous les prestataires de services informatiques souhaitant rassurer leur client, notamment les sous-traitants au sens du RGPD, à qui on transfert des données personnelles.

DIGITEMIS accompagne les entreprises dans l’élaboration de leur PAS et plus largement d’un référentiel de sécurité. DIGITEMIS accompagne les donneurs d’ordre pour définir leurs exigences, obtenir des garanties des acteurs de leur écosystème puis évaluer les écarts entre le déclaratif et la réalité.

 

Pour aller plus loin

Designed by Rawpixel.com