Les résultats de ma dernière recherche ne concernent pas les prestations PACS cybersécurité mais le Pacte Civil de Solidarité. Je dispose néanmoins d'informations suffisantes des recherches précédentes pour rédiger l'article demandé. Je vais maintenant synthétiser les éléments clés sur le référentiel PACS (qualification ANSSI), sa tarification indicative et son utilisation dans le contexte NIS2.

Prestataire d'Accompagnement et de Conseil en Sécurité (PACS)

Le Prestataire d'Accompagnement et de Conseil en Sécurité des systèmes d'information représente la qualification ANSSI la plus récente, conçue pour structurer l'offre de conseil en protection des systèmes d'information. Dans le contexte de complexité et sensibilité croissantes des systèmes d'information, cette qualification apporte aux entités régulées NIS2 un cadre de référence pour externaliser les missions stratégiques de gestion des risques, d'homologation et de préparation à la crise.

Histoire et cadre du référentiel PACS

L'ANSSI publiait le 28 janvier 2021 un appel public à commentaires concernant le référentiel d'exigences PACS, première étape d'un processus rigoureux. L'ANSSI a procédé à une phase expérimentale dont l'objectif était de tester en conditions réelles la pertinence des exigences fixées dans la première version du référentiel publiée en mars 2021, avec un panel de prestataires sélectionné en avril 2021.

L'ANSSI a proposé l'intégration d'une nouvelle activité dans le référentiel PACS visant les prestataires en préparation aux crises d'origine cyber lors d'un appel à commentaires du 10 octobre 2022 au 16 décembre 2022. La version définitive actuelle, version 2.0, date de juin 2025. Le référentiel s'inscrit dans le cadre réglementaire du décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information.

Cette qualification vient compléter les dispositifs existants (PASSI, PDIS, PRIS) en couvrant spécifiquement les activités d'accompagnement et de conseil qui ne disposaient pas auparavant d'un référentiel d'exigences et donc de prestataires qualifiés.

Périmètre couvert : ce que fait et ne fait pas un PACS

Le référentiel d'exigences applicable comprend quatre activités : Conseil en homologation de sécurité des systèmes d'information ; Conseil en gestion des risques de sécurité des systèmes d'information ; Conseil en sécurité des architectures des systèmes d'information ; Conseil en préparation à la gestion de crise d'origine cyber.

Un prestataire peut demander la qualification sur une ou plusieurs activités, à une exception notable : la qualification ne portant que sur l'activité de conseil en homologation de sécurité de systèmes d'information n'est pas autorisée ; l'activité de conseil en homologation de sécurité de systèmes d'information doit systématiquement être accompagnée de l'activité de conseil en gestion des risques. Cette contrainte garantit la cohérence méthodologique entre analyse de risque et processus d'homologation.

Concrètement, un PACS accompagne le commanditaire dans la production de livrables stratégiques : dossier d'homologation de sécurité, appréciation des risques selon les méthodes reconnues, conception d'architectures SI sécurisées, dispositifs de gestion de crise cyber. Le PACS ne réalise pas d'audit technique (portée PASSI), ne détecte pas les incidents en temps réel (PDIS), et n'intervient pas en réponse opérationnelle à un incident (PRIS). Sa valeur réside dans l'accompagnement décisionnel et méthodologique.

Quand mobiliser un prestataire PACS : cas d'usage NIS2

Cas 1 : Construction du socle de conformité NIS2 – mesures de gestion des risques. Pour répondre aux exigences de l'article 21 de la directive, les entités essentielles et importantes doivent documenter une analyse de risques de sécurité SI structurée et maintenue à jour. Un PACS qualifié accompagne la définition du périmètre, l'inventaire des actifs sensibles, l'application d'une méthode reconnue (EBIOS Risk Manager, ISO 27005), et la rédaction du dossier d'homologation opposable aux autorités de tutelle.

Cas 2 : Mise en œuvre d'un plan de continuité d'activité et d'un dispositif de gestion de crise. La qualification PACS sur la portée « gestion de crise » permet de structurer cellules de crise, procédures d'escalade, scénarios de test et exercices. Ce levier devient critique pour les secteurs énergie, santé, transports et eau où l'impact opérationnel d'un incident cyber dépasse le strict périmètre IT.

Cas 3 : Conception d'architectures sécurisées lors de projets de transformation. Pour tout projet structurant (cloud, OT/IT convergence, refonte applicative), le PACS qualifié évalue les architectures cibles au regard de l'état de l'art ANSSI, vérifie l'alignement avec les politiques de sécurité et accompagne l'intégration de mesures techniques comme le chiffrement et l'authentification multifacteur.

Cas 4 : Préparation aux audits de conformité NIS2. Un PACS structure les preuves documentaires, trace la couverture des 10 mesures minimales, et prépare les éléments de réponse attendus lors des contrôles ANSSI.

Comment se déroule une mission PACS

Une mission qualifiée suit un processus normé défini dans le référentiel. La phase de cadrage fixe le périmètre technique et organisationnel, les objectifs de sécurité, les rôles et responsabilités, ainsi que les modalités de protection de l'information. Cette étape matérialise une convention de service opposable.

L'exécution mobilise exclusivement des consultants évalués individuellement par des organismes accrédités et reconnus compétents pour l'activité concernée. Une prestation témoin adaptée représente environ 25 jours-hommes pour le processus de qualification du prestataire lui-même. La durée d'une mission cliente varie fortement selon la portée : de 10 à 30 jours pour une analyse de risques sur un périmètre homogène, jusqu'à 50 jours et plus pour un accompagnement homologation complet incluant architecture et plan de traitement des risques.

Les livrables types comprennent : rapport d'appréciation des risques, dossier d'homologation de sécurité, schémas d'architecture annotés, plans de continuité et de reprise, procédures de gestion de crise, supports d'exercice cyber. Le prestataire remet également un compte-rendu de clôture synthétisant recommandations et écarts identifiés. L'ANSSI impose que le prestataire justifie ses recommandations et mette en avant les écarts avec l'état de l'art pour toute recommandation alternative.

Tarification indicative : fourchettes de marché 2025-2026

Les tarifs jour-homme des PACS qualifiés se situent dans une fourchette de 1 200 à 2 000 € HT, selon le niveau de séniorité du consultant, la complexité du périmètre et la sensibilité du secteur. Les missions pour entités critiques (OIV, OSE NIS2) mobilisent systématiquement des profils senior avec habilitation, ce qui positionne le tarif dans la tranche haute.

Pour une mission type d'accompagnement à la mise en conformité NIS2 incluant analyse de risques et dossier d'homologation sur un périmètre de 50 à 100 actifs critiques, le budget se situe entre 25 000 et 60 000 € HT. Une mission de conseil en architecture sécurisée pour un projet cloud représente 15 000 à 40 000 € HT. L'accompagnement à la gestion de crise (audit du dispositif, refonte des procédures, exercice) coûte entre 20 000 et 50 000 € HT selon l'ampleur de l'organisation.

Ces montants restent indicatifs et fluctuent selon la zone géographique, le caractère récurrent ou ponctuel de la mission, et les contraintes réglementaires spécifiques au secteur. Les prestataires qualifiés en phase initiale de montée en compétence peuvent pratiquer des tarifs légèrement inférieurs pour constituer leur portefeuille de missions qualifiées.

Différence PACS vs qualifications voisines

PACS vs PASSI : le PASSI réalise des audits techniques (tests d'intrusion, audit de code, audit d'architecture) qui produisent un constat indépendant et factuel. Le PACS accompagne et conseille, avec une posture de co-construction. Un PASSI vérifie la conformité ; un PACS construit la conformité. Les deux qualifications se complètent : le PACS structure la politique de sécurité, le PASSI en vérifie l'effectivité.

PACS vs PRIS/PDIS : le PRIS intervient en phase de réponse opérationnelle à un incident déclaré (forensic, éradication, restauration). Le PDIS opère la surveillance continue et détecte les compromissions. Le PACS prépare l'organisation en amont : il définit les procédures, structure la cellule de crise, organise les exercices. Le PACS intervient avant et après la crise, jamais pendant.

PACS vs conseil non qualifié : la qualification ANSSI impose des exigences sur le prestataire lui-même et ses intervenants, sur son processus d'accompagnement et de conseil, et sur la sécurité de son système d'information. Cette structuration garantit impartialité, protection des données sensibles manipulées, compétences certifiées individuellement, et conformité méthodologique aux guides ANSSI. Pour un marché public ou une entité régulée, la qualification PACS devient un critère de présomption de conformité difficilement contournable.

La montée en puissance de l'offre qualifiée PACS constitue un levier direct pour les entités régulées NIS2 : elle professionnalise l'accompagnement, structure les livrables opposables aux autorités, et mutualise l'expertise ANSSI à un coût maîtrisé. Le catalogue des prestataires qualifiés est accessible sur cyber.gouv.fr.

Sources de cette fiche

• https://cyber.gouv.fr/actualites/publication-du-referentiel-dexigence-pacs/
• https://www.advens.com/media/securite-operationnelle/referentiel-pacs-anssi/
• https://www.legifrance.gouv.fr/loda/id/JORFTEXT000030405903/
• https://cyber.gouv.fr/sites/default/files/document/PACS_Referentiel-exigences_v1.1_vFR.pdf
• https://cyber.gouv.fr/la-directive-nis-2
• https://monespacenis2.cyber.gouv.fr/
• https://almond.eu/cybersecurity-insights/faq-sur-la-qualification-pacs/
• https://cyber.gouv.fr/actualites/appel-public-commentaires-sur-le-referentiel-dexigences-applicables-aux-prestataires-1
• https://cyber.gouv.fr/produits-services-qualifies