CONTACT

Plan d’Assurance Sécurité

dnda_serveur_ingenieur

Dans le domaine de la cyber sécurité, un plan formel d’assurance de la sécurité (PAS) revêt une importante stratégie dans la phase d’avant-vente. Le PAS permet aux fournisseurs de services informatiques de montrer à leurs clients où clients potentiels les règles qu’ils se sont imposées, garantissant ainsi la sécurité informatique.

PAS

Formaliser un plan d’assurance sécurité (PAS) est stratégique au stade de l’avant-vente. Le PAS est un document contractuel qui permet en effet à un prestataire de service informatique de présenter à ses clients ou prospects les règles qu’il s’impose, et par conséquent les garanties qu’il offre, en termes de sécurité informatique. Le client doit demander un PAS dans l’appel d’offres, il décrit l’ensemble des dispositions spécifiques que les candidats s’engagent à mettre en œuvre pour garantir le respect des exigences de sécurité du donneur d’ordres.

Une fois le prestataire retenu, le PAS est annexé au contrat. Il se substitue aux éventuelles clauses génériques de sécurité du prestataire.

Or le PAS à lui seul n’est pas suffisant Il doit être compléter avec un cloud risk assessement et une annexe de clauses de sécurité des données que nous verrons plus en détails dans les prochains articles qui leurs seront dédiés.

Objectif du PAS :

En plus de mettre en évidence les qualités de sécurité informatique d’un prestataire, le PAS est un outil de communication puissant. En effet, le nombre de cyberattaques a explosé en 2020 et inquiète les entreprises, à savoir 91 % des organisations françaises, des entreprises aux hôpitaux en passant par les collectivités, ont été la cible de cyberattaque cette année.

Le Covid-19 a été une opportunité pour les hackers. Entre le télétravail et la désorganisation dans les entreprises due à l’urgence de la crise, les cyberattaques ont explosé. Neuf organisations françaises sur dix ont été ciblées cette année. Or, ces attaques sont particulièrement lourdes de conséquences. Les pertes financières qu’elles engendrent sont estimées à 1,6 milliard d’euros pour les entités interrogées en France en 2020, soit 39% de plus qu’en 2019.

Ces craintes font du PAS un élément de poids dans le choix d’un service informatique, en particulier s’agissant de l’externalisation des données. Il est systématiquement demandé pour répondre à un appel d’offre en la matière, du fait qu’il facilite la comparaison des différents prestataires en concurrence.

Contenu du PAS :

Le plan d’assurance sécurité répertorie toutes les références de sécurité sur lesquelles s’appuie l’entreprise pour assurer la sécurité des services qu’elle propose. L’objectif est ici de répondre notamment aux exigences des articles 34 et 35 de la loi informatique et libertés du 6 janvier 1978 modifiée qui imposent au responsable de traitement et à son sous-traitant de mettre tous les moyens en œuvre pour assurer la sécurité et la confidentialité des données.

Notons ici que le Règlement Européen pour la protection des données est venu renforcer cette obligation en instaurant un quasi-régime de co-responsabilité entre le client et son prestataire.

Le PAS rappelle utilement ce contexte et les impératifs légaux qui s’appliquent tant à l’entreprise qui fournit le service qu’à son prospect en recherche de garanties.

Sur ce point, les normes ISO ou la classification TIER de l’Uptime Institute constituent un langage universel dans le monde de la sécurité informatique. Elles permettent aux consommateurs de services numériques de connaître le niveau de sécurité assuré par le prestataire auquel ils s’intéressent.

Le fournisseur de service détaillera ainsi dans son PAS les mesures qu’il adopte concrètement, dans son architecture technique comme dans l’organisation pratique de son activité quotidienne, afin de se préserver des risques informatiques.

Le plan aura ainsi notamment pour objectif de décrire les relations entre les diverses composantes du système de stockage et de gestion des données, les modalités techniques d’accès aux services informatiques, les différents enregistrements opérés afin de tracer les opérations ou assurer les sauvegardes, et mentionne les moyens de protection et de contrôle mis en place à chaque étape.

Celui-ci précisera également les protocoles suivis en cas d’incident informatique, les délais que l’entreprise s’accorde pour y remédier ainsi que les mesures de détection, de prévention, et d’analyse qu’elle institue afin d’en limiter autant que possible les effets, et éviter qu’ils ne se (re)produisent.

Exemple de table des matières d’un PAS :

Présentation du document

  • Objet
  • Glossaire et définitions
  • Documents de référence et associés

Description de la prestation

  • Exigences de sécurité

Sécurité des ressources humaines

  • Recrutement
  • Gestion des arrivées départ
  • Sensibilisation et formation à la SSI

Gestion des actifs

  • Cartographie des actifs
  • Classification des actifs
  • Protection des informations

Gestion des accès logiques

  • Droits d’accès aux ressources
  • Contrôle d’accès logique aux SI
  • Gestion des habilitations
  • Gestion des sessions inactives
  • Traçabilité des accès

Gestion des authentifiants

  • Gestion des mots de passe
  • Gestion des certificats électroniques

Sécurité physique

  • Contrôle d’accès physique aux locaux
  • Traçabilité des accès physiques aux locaux
  • Protection des zones de sécurité physique

Sécurité de l’exploitation des SI

  • Durcissement des ressources informatiques
  • Sauvegardes et restauration
  • Documentation des ressources informatiques
  • Gestion des correctifs de sécurité
  • Lutte contre les codes malveillants
  • Administration des SI

Sécurité des communications

  • Politique de sécurité des communications
  • Sécurisation des transmissions de données
  • Accès à distance aux SI
  • Accès au réseau interne depuis des équipements non maîtrisés

Sécurité des développements

  • Règles de développement
  • Cloisonnement des environnements
  • Données d’essai
  • Gestion des évolutions

Maintenance des SI

  • Maintien du niveau de sécurité des SI
  • Sécurité de la maintenance des SI
  • Mise au rebut

Relation avec les tiers

  • Gestion de la sécurité avec les sous-traitants

Gestion des incidents et des alertes

  • Veille et gestion des vulnérabilités techniques
  • Détection et dispositif de gestion des incidents
  • Journalisation des incidents et des alertes
  • Gestion de crise

Gestion de la continuité d’activité

  • Définition, mise en œuvre et maintien du plan de continuité d’activité
  • Protection des données de sauvegarde

Mise à jour des systèmes et logiciels

  • Sécurité des postes de travail
  • Utilisation de terminaux personnels
  • Privilèges des utilisateurs sur les postes de travail
  • Stockage des informations
  • Protection des données critiques
  • Configuration du navigateur internet

Gestion de la documentation

  • Référentiel documentaire
  • Gestion de la documentation

Contrôle et évaluation

  • Contrôles récurrents de conformité à la PSSI
  • Audits ponctuels de conformité à la PSSI
  • Reporting SSI

Conclusion :

En résumer de nos jours les risques en sécurité informatique sont de plus en plus importants, le Plan d’Assurance Sécurité est à la fois un document juridique et technique. Il est devenu nécessaire pour tous les prestataires de services informatiques souhaitant rassurer leur client, notamment les sous-traitants au sens du RGPD, à qui on transfert des données personnelles.

 

Pour recevoir nos dernières publications, n'hésitez pas à souscrire à notre newsletter

Facebook
Twitter
LinkedIn
Pinterest

Derniers articles

Catégories

Contact

Contactez-nous !
DND Agency

LILLEPARISBARCELONE

26 avenue de Tourville 

   75007 PARIS

Suivez-nous

Facebook Twitter Youtube Linkedin

DND Agency – Agence de cybersécurité référencée sur cybermalveillance.gouv.fr

Politique de confidentialité     Mentions légalesPlan du site