Elaboration d’un plan d’assurance sécurité (PAS)

Le PAS, Plan d’Assurance Sécurité, est un document à la fois juridique et technique. C’est une annexe contractuelle qui impose un engagement du fournisseur sur son niveau de sécurité.

Dans un contexte où de plus en plus d’organisations sont attaquées via leurs fournisseurs ou prestataires, la formalisation de PAS s’avère impérative. La supply chain représente en effet un vecteur d’attaque significatif pour accéder aux réseaux des entreprises, voler des données sensibles ou perturber les opérations.

En phase avec une approche conformité ou une approche par les risques, il est fortement recommandé d’évaluer le niveau de maturité de ses fournisseurs en termes de cybersécurité et de gestion de données à caractère personnel dès lors que :

• Le SI cible est interconnecté avec le SI du fournisseur ;
• Des données sensibles pour l’organisation cible sont consultées, manipulées et/ou stockées par le fournisseur.

Les exigences applicables sont généralement sélectionnées selon les réglementations applicables et/ou les référentiels suivis par l’organisation cible. Les domaines suivants peuvent par exemple être retenus :

Digitemis propose la méthode suivante :

Sur la base d’une approche éprouvée auprès de nombreuses organisations, Digitemis offre son accompagnement, de la mise en place de la démarche jusqu’à la formalisation du document, en passant par les échanges sous votre mandat avec votre fournisseur.

Digitalisation du processus :

Digitemis propose également de digitaliser ce processus avec un outillage développé spécifiquement et disponible en SaaS, permettant de :

• Systématiser les demandes de PAS pour faciliter le pilotage du portefeuille de fournisseurs ;
• Optimiser le process de production des PAS en :
  • Dynamisant la collaboration avec les fournisseurs pour la formalisation des réponses ;
  • Digitalisant la collecte d’informations ;
  • Permettant une production collaborative de l’information et une revue par les acteurs de la sécurité/conformité/achats (espace d’échange inter parties prenantes) ;
  • Automatisant la production de documents contractuels.
• Produire des indicateurs dynamiques de sécurité et de conformité.
• Centraliser les PAS et leur suivi dans le temps :
  • Stockage de l’ensemble des données en un seul point de façon sécurisée ;
  • Accès à l’ensemble des documents en fonction de la gouvernance de l’entreprise.

La rédaction d’un PAS permet d’une part de renforcer le niveau d’assurance en termes de sécurité de ses prestataires et fournisseurs, d’autre part l’accompagnement et l’approche collaborative permet de renforcer la responsabilité cyber des entreprises.