L’ANSSI publie la version 2.0 du référentiel applicable aux prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS). Cette mise à jour introduit deux niveaux de qualification, « substantiel » et « élevé », afin de mieux adapter les prestations aux besoins des organisations et d’aligner le dispositif avec les travaux européens menés dans le cadre du CyberSecurity Act.
Une qualification désormais graduée selon le niveau de risque
Le référentiel PACS encadre les prestations d’accompagnement et de conseil en sécurité des systèmes d’information. Ces interventions visent notamment à aider les organisations à se conformer à des exigences réglementaires ou sectorielles, telles que celles issues de la LPM ou de NIS2, ou à atteindre un niveau de sécurité défini.
Avec la version 2.0, l’ANSSI introduit deux niveaux de qualification : « substantiel » et « élevé ». Le choix du niveau relève du bénéficiaire de la prestation, sauf lorsqu’une obligation légale, réglementaire ou contractuelle impose un cadre particulier.
L’agence recommande le niveau élevé lorsque le système d’information concerné est exposé à des risques importants ou lorsque les scénarios de menace incluent des acteurs stratégiques. Dans les autres situations, le niveau substantiel est présenté comme suffisant.
Cette évolution vise également à assurer une cohérence avec les travaux actuellement conduits au niveau européen autour du règlement CyberSecurity Act.
Une évolution des critères d’évaluation des consultants
La distinction entre les deux niveaux de qualification se traduit notamment dans les modalités d’évaluation des compétences des consultants.
Pour les prestations relevant du niveau substantiel, les connaissances et compétences individuelles ne sont plus vérifiées au moyen d’examens écrits et oraux. L’évaluation porte désormais sur l’organisation du prestataire ainsi que sur les processus qu’il met en œuvre pour contrôler et maintenir le niveau de compétence de ses équipes.
Selon l’ANSSI, cette évolution doit permettre aux prestataires intervenant sur des prestations de niveau substantiel de mobiliser davantage de consultants qualifiés et, par conséquent, de réduire les délais d’accès à une prestation qualifiée.
Le niveau élevé conserve en revanche les modalités d’évaluation existantes. Les consultants doivent toujours réussir des examens écrits et oraux. L’obtention de l’attestation individuelle de compétences demeure conditionnée à la réussite de ces épreuves.
Les domaines d’intervention couverts par la qualification PACS restent inchangés. Ils concernent l’accompagnement et le conseil en sécurité des architectures des systèmes d’information, la gestion des risques, l’homologation de sécurité ainsi que la préparation à la gestion de crise d’origine cyber.
Transition vers la nouvelle version du référentiel
L’ANSSI invite les prestataires souhaitant qualifier leurs services ainsi que les organismes désireux de réaliser les évaluations de conformité à se rapprocher de ses services.
Les prestataires déjà qualifiés ou engagés dans une démarche de qualification sont appelés à prendre connaissance des modalités de transition vers la version 2.0. Sous certaines conditions précisées par l’agence, ils peuvent convertir leur qualification actuelle vers l’un des deux nouveaux niveaux, substantiel ou élevé. La demande de conversion, accompagnée des justificatifs requis, doit être transmise à l’ANSSI dans un délai de deux mois.
La version 1.1 du référentiel PACS, publiée le 3 juin 2025 et utilisée pour les qualifications au titre du décret n° 2015-350, est désormais considérée comme obsolète. La version 2.0 devient la référence applicable. Les évaluations déjà engagées sur la base du précédent référentiel peuvent toutefois se poursuivre jusqu’à leur terme.
