Qualification ANSSI
PACS : Prestataire d'Accompagnement et de Conseil en Sécurité
Le PACS est un prestataire qualifié par l'ANSSI pour assister les RSSI et leurs équipes dans la protection des systèmes d'information, notamment en matière d'homologation de sécurité, de gestion des risques, de conception d'architectures sécurisées et de préparation à la gestion de crises cyber. Cette qualification atteste de la compétence, de l'impartialité et de la fiabilité des prestataires offrant des services de conseil et d'accompagnement en cybersécurité.
Origine et portées du référentiel
Face à la complexité et la sensibilité croissantes des systèmes d'information, l'ANSSI a élaboré ce référentiel pour apporter aux commanditaires les garanties nécessaires en matière de compétence et de sécurisation de ces prestations. Publié après une phase d'appel à commentaires en 2021 puis expérimentale, le référentiel PACS v1.1 couvre quatre activités distinctes :
- Conseil en homologation de sécurité des SI (HOMOL)
- Conseil en gestion des risques de sécurité des SI (RISQUE)
- Conseil en sécurité des architectures des SI (ARCHI)
- Conseil en préparation à la gestion de crise d'origine cyber (CRISE)
Un prestataire qualifié PACS démontre sa capacité à réaliser des prestations de qualité supérieure, en respectant un cadre déontologique et méthodologique rigoureux. La qualification est délivrée par l'ANSSI pour trois ans avec un audit de surveillance à 18 mois.
Lien avec NIS2
L'ANSSI a indiqué que les qualifications PASSI, PDIS, PACS et PAMS permettront de bénéficier d'une présomption de conformité pour les entités concernées en fonction des exigences NIS2. Pour les entités essentielles (EE) et importantes (EI), recourir à un PACS qualifié garantit un accompagnement conforme aux attentes de l'autorité de régulation lors des phases d'analyse de risques, d'homologation ou de préparation à la gestion de crise cyber — démarches centrales dans la mise en conformité au projet de loi Résilience.
Un prestataire PACS intervient notamment dans la construction du dispositif de gestion des risques (Article 21 §2 de la directive NIS2) et dans la préparation organisationnelle exigée par le référentiel ReCyF. Les entités régulées peuvent ainsi s'appuyer sur un conseil de confiance pour structurer leur démarche de sécurité avant tout contrôle de l'ANSSI.
→ Voir aussi : Mesures NIS2