Les prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS) ont pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leur mission de gestion des risques et de protection des systèmes d’information.
Compte tenu de la complexité et de la sensibilité croissante des systèmes d’information dans leurs dimensions techniques, organisationnelles ou encore réglementaires, l’ANSSI a élaboré un référentiel visant à apporter aux commanditaires de telles prestations les garanties nécessaires sur les compétences des prestataires, le processus d’accompagnement et de conseil ainsi que la sécurité du système d’information lié aux prestations.
Afin de compléter les dispositions de la première version de référentiel et de répondre aux besoins des organisations face à la montée de la menace cyber, l’ANSSI propose l’intégration d’une nouvelle activité dans le référentiel PACS visant à identifier les prestataires en préparation aux crises d’origine cyber. Ces prestations ont pour objectif de permettre la montée en maturité des organisations commanditaires, notamment en complétant leur dispositif et leur gouvernance de gestion de crise avec un volet cyber, en formalisant des plans tels que PCA et PRA cyber, en créant des fiches réflexes pour améliorer la réponse des équipes dirigeantes, opérationnelles, techniques et de communication, en créant une stratégie de formation et d’entraînement, ou encore en organisant des exercices de crise.
Cette nouvelle activité est mise en ligne aujourd’hui dans le cadre d’un appel public à commentaires. Les observations, les commentaires et les propositions peuvent être transmis jusqu’au 16 décembre 2022, de préférence par courriel, à l’adresse qualification@ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous.
Les exigences relatives à cette nouvelle activité de préparation aux crises d’origine cyber apparaissent en marques de révision dans le référentiel.
L’ANSSI remercie par avance tous ceux qui répondront à cet appel à commentaires.
À la suite du recueil et de la prise en compte des commentaires, l’ANSSI intégrera les suggestions pertinentes en parallèle de celles identifiées lors de la phase expérimentale actuellement en cours, et ce afin de pouvoir publier un référentiel consolidé dans les prochains mois. L’activité « préparation aux crises d’origine cyber » ne fera pas l’objet de phase expérimentale.