Mise à jour du référentiel d’exigences PACS en version 2.0

Les PACS accompagnent les bénéficiaires pour mettre leurs systèmes informatiques en conformité avec des exigences de sécurité spécifiques (LPM, NIS2, etc.) ou pour atteindre un niveau de sécurité déterminé.

La qualification d'un prestataire PACS apporte aux bénéficiaires des garanties sur l'impartialité et la compétence du prestataire, la confiance que l'on peut lui accorder et sa capacité à protéger les informations et supports relatifs à la prestation.

Les principales modifications apportées par cette nouvelle version sont les suivantes :

Création de deux niveaux de qualification : élevé et substantiel

Sauf obligation légale, réglementaire ou contractuelle à laquelle serait soumis le bénéficiaire, le choix du niveau de qualification de la prestation lui revient. Une prestation de niveau élevé est recommandée lorsque les risques qui pèsent sur le système d'information cible sont élevés et/ou lorsque les scénarios de risque de nature intentionnelle impliquent des menaces stratégiques. Dans les autres cas, une prestation de niveau substantiel devrait suffire.

La création des niveaux de qualification substantiel et élevé permet d'assurer une cohérence avec les travaux actuellement menés dans le cadre du règlement européen « CyberSecurity Act ».

Pour le niveau de qualification substantiel, les connaissances et compétences des consultants ne sont plus vérifiées à l'aide d'examens écrits et oraux mais par l'évaluation de l'organisation et des processus mis en place par le prestataire pour vérifier et maintenir les connaissances et les compétences de ses consultants. Cette nouvelle disposition permettra aux PACS réalisant des prestations de niveau substantiel de disposer d'un nombre de consultants plus important, et donc de réduire les délais pour obtenir une prestation qualifiée. Pour le niveau élevé, les dispositions relatives à l'évaluation des connaissances et compétences des consultants restent inchangées : les consultants doivent passer des examens écrits et oraux et leur réussite conditionne l'émission d'une attestation individuelle de compétences.

Les activités d'accompagnement et de conseil en sécurité des systèmes d'information pouvant être réalisées par un PACS qualifié restent inchangées, à savoir :

• accompagnement et conseil en sécurité des architectures des systèmes d'information ;
• accompagnement et conseil en gestion des risques de sécurité des systèmes d'information ;
• accompagnement et conseil en homologation de sécurité des systèmes d'information ;
• accompagnement et conseil en préparation à la gestion de crise d'origine cyber.

Sont invités à se rapprocher de l'ANSSI :

• les prestataires souhaitant qualifier leur service d'accompagnement et de conseil en sécurité des systèmes d'information (contact : industries[at]ssi.gouv.fr) ;
• les organismes souhaitant procéder à l'évaluation de la conformité des prestataires d'accompagnement et de conseil en sécurité des systèmes d'information aux exigences du référentiel (contact : industries[at]ssi.gouv.fr).

Les PACS qualifiés et en cours de qualification sont invités à prendre connaissance de la note relative aux critères et modalités de transition vers la version 2.0 du référentiel PACS. Ils peuvent, sous certaines conditions énoncées dans cette note, convertir leur qualification en vigueur en une qualification au niveau substantiel ou élevé selon le nouveau référentiel. Ils doivent pour cela adresser à l'ANSSI leur demande de conversion de qualification accompagnée des pièces justificatives dans un délai de deux mois.

La version 1.1 du 3 juin 2025 du référentiel PACS et permettant la qualification des PACS au titre du décret n°2015-350, doit aujourd'hui être considérée comme obsolète. La version 2.0 du référentiel devient désormais la référence. Les évaluations actuellement en cours selon la version 1.1 du référentiel PACS peuvent néanmoins être poursuivies et menées à leur terme.