""

Qualification PACS : Conseil en Cybersécurité - ANSSI

Les missions d’assistance à la gestion des risques, d’homologation de systèmes d’information, de gestion de crise ou d’analyse d’architecture de sécurité exigent des garanties rigoureuses de compétences, de déontologie et d'organisation. La qualification PACS (Prestataires d’Accompagnement et de Conseil en Sécurité des systèmes d’information) répond précisément à ces exigences pour l'ensemble des acteurs du conseil en cybersécurité.

En tant que centre d’évaluation agréé et habilité par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'information), LSTI réalise l'audit des organisations, l'examen des compétences individuelles des consultants et l'évaluation de la sécurité des infrastructures des prestataires candidats à cette qualification. La qualification finale est officiellement délivrée par l'ANSSI sur la base du rapport d'évaluation transmis.

Qu'est-ce que le référentiel PACS de l'ANSSI ?

Le référentiel PACS (Prestataire d'Accompagnement et de Conseil en Sécurité des Systèmes d'Information) est un cadre d'exigences organisationnelles, de sécurité et de compétences élaboré par l'ANSSI. Ce dispositif atteste de la compétence, de la déontologie et de la fiabilité des structures qui conseillent les organisations dans leur stratégie de cyberdéfense, tout en veillant à ce que le commanditaire conserve toujours son autonomie et sa responsabilité dans sa démarche de sécurisation.

Le référentiel PACS (version 2.0) introduit deux niveaux d'exigences distincts adaptés aux enjeux de sécurité des commanditaires :

  • Le niveau Substantiel : Ce niveau valide un socle de maturité géographique, méthodologique et organisationnel pour l’accompagnement de structures et de systèmes d'information d'importance standard ou intermédiaires.
  • Le niveau Élevé : Destiné à la protection des systèmes d'information les plus critiques, ce niveau impose la vérification de mesures de sécurité logique renforcées sur le propre système d'information du prestataire (comme le chiffrement, le cloisonnement ou le durcissement des infrastructures) pour manipuler des informations hautement sensibles ou restreintes.

 

La qualification peut être obtenue sur tout ou partie des quatre domaines (portées) :

  • Le conseil en gestion des risques de sécurité des SI (appréciation des risques et plans de traitement).
  • Le conseil en homologation de sécurité des SI (constitution du dossier et aide à la décision, cette portée ne pouvant être souscrite seule).
  • Le conseil en sécurité des architectures des SI (structuration des choix techniques et organisationnels).
  • Le conseil en préparation à la gestion de crise d’origine cyber (gouvernance, fiches réflexes, exercices et plans de continuité PCA/PRA/PCI).
 

Les enjeux de la qualification PACS

Cette qualification est un gage de confiance pour les commanditaires, notamment les OIV (Opérateurs d'Importance Vitale) et les OSE (Opérateurs de Services Essentiels), mais aussi pour toute entreprise soucieuse de la protection de ses informations sensibles.

Faire appel à un prestataire qualifié PACS apporte des garanties fondamentales pour leurs projets de cybersécurité :

  • Expertise de confiance : Assurance de travailler avec des consultants dont les compétences sont officiellement reconnues et validées par l'ANSSI.
  • Sécurité et qualité des prestations : Garantie d'un haut niveau de qualité des livrables et des méthodes, encadrées par le référentiel d'exigences PACS.
  • Réduction des risques : Meilleure maîtrise des risques cyber grâce à un accompagnement expert en gestion des risques de sécurité des SI.
  • Conformité réglementaire : Aide précieuse pour l'homologation de sécurité des systèmes d'information, simplifiant l'atteinte de la conformité.
  • Renforcement architectural : Obtention de conseils pertinents pour sécuriser les architectures SI face aux menaces actuelles.
  • Préparation aux crises : Amélioration de la capacité de l'organisation à anticiper et gérer efficacement un incident ou une crise cyber.
 

Demandez un devis

A qui s'adresse la qualification PACS ?

Ce parcours d'évaluation s'adresse à toutes les structures professionnelles – des cabinets de conseil indépendants aux grandes Entreprises de Services du Numérique (ESN) – qui opèrent des activités de conseil et d'accompagnement en sécurité des SI pour le compte de clients tiers ou de structures publiques.

La qualification atteste que le prestataire respecte :

  • Les exigences contractuelles, législatives et de protection de l’information.
  • Les niveaux minimaux de connaissances théoriques et de compétences méthodologiques des équipes de consultants.
  • Les règles de sécurité informatique applicables aux propres outils de travail et d'administration du cabinet de conseil.
 

Comment se déroule l'évaluation PACS ?

Le prestataire initie sa demande auprès de LSTI (avant ou après le dépôt de son dossier jalon J0 à l'ANSSI). Les auditeurs et experts techniques de LSTI sont des professionnels confirmés de la cybersécurité. Ils disposent d'une maîtrise approfondie des référentiels de l'ANSSI, des pratiques de management de la sécurité de l'information et des cadres de confiance numérique.
Conformément à la trame d'évaluation officielle de l'ANSSI, le processus de vérification de la conformité se découpe en plusieurs phases clés, menées par des auditeurs LSTI soumis au secret professionnel le plus strict :

 

L'évaluation du prestataire (en deux étapes)

  • L'étude documentaire (DOC) : Analyse approfondie de l’information documentée, de la structure juridique et de la reproductibilité des processus du prestataire (PSSI, rapports types, méthodologies d'analyse de risques). Un rapport d'étude documentaire est remis pour valider la préparation à la suite de l'audit. Le délai maximum entre cette étude et l'audit sur site est de 6 mois.
  • L'audit des processus, des locaux et du SI (Sur Site) : Vérification concrète sur le terrain du respect des politiques internes, de l'applicabilité des mesures et de la sécurité des infrastructures du cabinet (outils cryptographiques, protection des postes nomades). Mené par un Responsable d'Évaluation (RA) et un Expert Technique Architecture (ETA), cet audit se clôture par une réunion de présentation orale des constats et des éventuelles non-conformités (majeures ou mineures).

 

L'évaluation des compétences des consultants (niveau Élevé uniquement). En parallèle, dès le franchissement du jalon J1, chaque candidat pour lequel l'attestation individuelle de compétence est demandée doit passer des examens rigoureux organisés par LSTI :

  • Épreuve écrite : Des examens théoriques anonymes comprenant l'évaluation du Socle commun de connaissances en SSI et, selon les profils, des examens de spécialité (Gestion des risques, Architecture ou Crise)
  • Épreuve orale : Un entretien devant un jury d'experts (RA/ETA) visant à évaluer les qualités d'écoute, de communication [ISO 19011] et à confirmer les compétences professionnelles du candidat à travers la soutenance d'une prestation témoin réelle et clôturée.

 

A l'issue de ces opérations, LSTI produit le rapport d'évaluation final destiné à l'ANSSI pour sa prise de décision. Le maintien de la qualification nécessite la réalisation d'une inspection ou d'un audit de surveillance obligatoire à 18 mois

 
Demandez un devis

Vos questions sur la qualification PACS

  • Quelles sont les différences de prestations entre un PACS substantiel et un PACS élevé pour le client final ?

    Le choix entre le niveau Substantiel et le niveau Élevé dépend de la sensibilité des données et de la criticité du système d'information du client final. Le niveau Substantiel apporte la garantie que les consultants appliquent une méthodologie de conseil rigoureuse et maîtrisent la sécurité de leurs propres outils de travail, ce qui est adapté pour les entreprises privées standards et les collectivités territoriales. Le niveau Élevé est requis pour les structures critiques ou étatiques (OIV, ministères) car il garantit que le cabinet de conseil dispose d'un système d'information durci et homologué, apte à échanger et stocker des données classifiées ou à diffusion restreinte en toute étanchéité.

  • Quelle est la différence concrète entre le niveau Substantiel et le niveau Élevé lors de l'évaluation PACS d'un cabinet de conseil ?

    La distinction majeure entre le niveau Substantiel et le niveau Élevé repose sur des allègements techniques et organisationnels définis par la trame d'évaluation de l'ANSSI. En postulant uniquement au niveau Substantiel, le parcours d'évaluation d'un cabinet bénéficie de trois simplifications clés : l'absence d'examens individuels théoriques pour l'attestation des compétences des consultants, l'absence d'obligation de posséder une infrastructure homologuée "Diffusion Restreinte" (SI DR), et une évaluation de l'expertise méthodologique basée exclusivement sur une analyse "post-mortem" (rétrospective) de missions de conseil déjà archivées, sans contrôle d'un projet actif sur le terrain.

  • En tant que cabinet de conseil, est-il possible d'être évalué et qualifié uniquement sur la portée « Préparation à la gestion de crise cyber » ?

    Il est tout à fait possible pour un cabinet de conseil d'être évalué et qualifié au titre du PACS uniquement sur la portée « Préparation à la gestion de crise d'origine cyber ». La gestion de crise constitue ainsi un périmètre technique autonome. Une structure peut donc choisir de faire auditer son organisation, ses méthodologies de simulation et la compétence de ses équipes exclusivement sur cette spécialité pour obtenir une qualification PACS ciblée.

  • Quels sont les prérequis techniques concernant le système d'information d'un cabinet de conseil candidat ?

    Le système d'information du cabinet fait partie intégrante du périmètre d'évaluation mené par l'Expert Technique Architecture (ETA). Pour le niveau Substantiel, le SI doit se conformer aux bonnes pratiques et exigences du Guide d’hygiène informatique de l’ANSSI (notamment la règle renforcée GHY 13 introduite en trame v2.1 relative à l'usage exclusif de produits et services de confiance qualifiés). Pour le niveau Élevé, l'infrastructure doit obligatoirement être homologuée pour le traitement des informations de niveau « Diffusion Restreinte » (SI DR), en stricte conformité avec l'Instruction Interministérielle II 901.

     

    Quel que soit le niveau, les experts techniques LSTI vérifient la conformité réglementaire liée à la gestion des droits et des habilitations, les mécanismes de chiffrement des données (au repos et en transit), la sécurité des postes de travail nomades des consultants, ainsi que l'application des règles de sécurité de l'infrastructure.

  • Quelle différence entre un prestataire PACS et un cabinet de conseil en cybersécurité ?

    La différence majeure réside dans le visa de sécurité de l'ANSSI : un prestataire qualifié PACS a vu ses compétences, ses méthodologies et sa sécurité logique rigoureusement auditées par un organisme d'évaluation indépendant (OEC), contrairement à un cabinet de conseil en cybersécurité dont la démarche repose souvent sur des évaluations déclaratives. De plus, le référentiel PACS 2.0 impose des garanties opérationnelles et de souveraineté strictes pour manipuler des données hautement stratégiques. Choisir un prestataire qualifié PACS assure ainsi aux commanditaires un niveau de confiance maximal (Substantiel ou Élevé), indispensable pour l'accompagnement et la sécurisation des infrastructures critiques.

En savoir plus

sur nos autres certifications

""
Qualification PASSI
LSTI est le 1er organisme de certification historique apte à évaluer les entreprises pour la qualification PASSI. La qualification des prestataires d’audit de la sécurité PASSI fait partie du règlement général de sécurité (RGS) de l’ANSSI. Elle s’adresse à tous les types d’entreprises qui réalisent des audits techniques pour leur propre compte ou pour celui de leurs clients.
Découvrir
""
Qualification PRIS

LSTI est habilité par l'ANSSI pour la procéder à l'évaluation des Prestataire de Résolution d'Incidents de Sécurité (PRIS).

La qualification est délivrée par l'ANSSI sur la base d'une évaluation réalisée par LSTI en tant que Centre d'évaluation.


Découvrir
""
Certification ISO 27001
Face à l’augmentation continue des cybermenaces et des exigences réglementaires, la sécurité de l’information constitue un enjeu stratégique pour les organisations. La norme ISO/IEC 27001 s’est imposée comme le référentiel international de référence pour structurer la gouvernance de la sécurité de l’information et maîtriser les risques associés aux systèmes d’information.
La certification ISO 27001 repose sur le déploiement d'un Système de Management de la Sécurité de l'Information (SMSI) garantissant la confidentialité, l'intégrité et la disponibilité des données. En tant qu'organisme tiers indépendant, LSTI valide la conformité de votre démarche, transformant cette exigence de sécurité en un véritable facteur de confiance et un avantage concurrentiel pour vos services numériques, cloud ou de santé.
Découvrir

Pourquoi choisir LSTI ?

Chiffre #1

Expertise reconnue

Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.

Chiffre #2

Auditeurs spécialisés

Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.

Chiffre #3

Tiers indépendant et accompagnement dédié

LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.


Découvrez nos actualités