Plan d’assurance sécurité (PAS)

Plan d’assurance sécurité (PAS) selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI)

Le Plan d'Assurance Sécurité (PAS) doit être demandé dans l'appel d'offres. Document contractuel, il décrit l'ensemble des dispositions spécifiques que les candidats s'engagent à mettre en œuvre pour garantir le respect des exigences de sécurité du donneur d'ordres.

C'est aussi un cadre de réponse : il offre une structure pour la réponse des candidats aux exigences de sécurité, ce qui permet de mieux évaluer la pertinence de la couverture des exigences. Il facilite ainsi la comparaison entre les différentes offres.

Une fois le prestataire retenu, le PAS est annexé au contrat. Il se substitue aux éventuelles clauses génériques de sécurité du prestataire. Le plan-type proposé ci-après pourra être joint à l'appel d'offres comme base de rédaction du Plan d’Assurance Sécurité qui sera fourni par les candidats en réponse à la consultation.

(Source : ANSSI - Externalisation des systèmes d’information.

Plan d’assurance sécurité et CCAG-TIC 2021

L'article 4 du CCAG-TIC 2021, relatif aux pièces contractuelles du marché, prévoit que plan d’assurance sécurité peut faire partie d'une annexe à l'offre technique du titulaire au même titre que le plan d'assurance qualité et/ou le plan de prévention des risques (PPR). Le cas échéant, le plan de sécurité des systèmes d'information (PSSI) peut également faire partie des pièces contractuelles.

Plan d’assurance sécurité et externalisation d’une brique de système d’information

Pour les marchés ayant un objet principal numérique comme l’externalisation d’une brique de système d’information, les clauses simplifiées du cahier de clauses simplifiées de cybersécurité (CCSC) peuvent être complétées dans le cahier de clauses particulières du marché auquel fait écho la production par les candidats puis la contractualisation avec le titulaire d’un plan d’assurance sécurité (PAS).

Voir également

infogérance, Pièces constitutives,