L'ANSSI publie la version 2.0 du référentiel PACS, introduisant deux nouveaux niveaux de qualification « substantiel » et « élevé » pour mieux répondre à la diversité des besoins des prestataires d'accompagnement et de conseil en sécurité des systèmes d'information.
Applicables aux prestataires d'accompagnement et de conseil en sécurité des systèmes d'information, le référentiel PACS a été mis à jour par l'ANSSI. Cette version dite 2.0 doit permettre d'adresser un panel plus large de bénéficiaires. L'agence a ainsi introduit deux nouveaux niveaux de qualification, « substantiel » et « élevé ». « Sauf obligation légale, réglementaire ou contractuelle », c'est le bénéficiaire qui choisit son niveau de qualification de la prestation.
« Une prestation de niveau élevé est recommandée lorsque les risques qui pèsent sur le système d'information cible sont élevés et/ou lorsque les scénarios de risque de nature intentionnelle impliquent des menaces stratégiques », précise l'agence. Le niveau substantiel « devrait suffire » aux autres cas de figure.
Les modalités d'évaluation des consultants diffèrent en fonction des deux niveaux. Pour le niveau de qualification substantiel, ils seront évalués non pas sur leurs connaissances via des examens écrits et oraux, mais sur l'organisation et les processus mis en place par le prestataire pour vérifier et maintenir le niveau de compétences de ses consultants. L'agence estime que cela permettra aux prestataires de disposer de plus de consultants et de réduire ainsi les délais pour obtenir une prestation qualifiée.
La version 1.1 est obsolète
Pour le niveau élevé, les consultants seront toujours évalués sur leurs connaissances et compétences à l'oral et à l'écrit sont maintenues. L'obtention d'une attestation individuelle de compétences est conditionnée à la réussite de ces examens.
Les activités d'accompagnement et de conseil restent inchangées. Elles couvrent l'accompagnement et le conseil en sécurité des architectures des systèmes d'information ; en gestion des risques de sécurité des systèmes d'information ; en homologation de sécurité des systèmes d'information ; et en préparation à la gestion de crise d'origine cyber.
Les prestataires qualifiés ou en cours de qualification peuvent, « sous certaines conditions », convertir leur qualification en une qualification de niveau substantiel ou élevé. Pour ce faire, l'ANSSI les invite à se rapprocher d'elle d'ici deux mois. La version 1.1 du 3 juin 2025 est désormais obsolète : c'est la version 2.0 qui fait foi.
