PAMS (Prestataires d’Administration et de Maintenance Sécurisées) est un référentiel développé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui encadre les activités des entreprises proposant des services d’infogérance. Ce référentiel s’applique spécifiquement à l’administration et la maintenance externalisées de systèmes d’information critiques. Il établit un ensemble d’exigences rigoureuses visant à garantir la sécurité de ces prestations, particulièrement pour les clients sensibles comme les Opérateurs d’Importance Vitale (OIV).
Pourquoi le référentiel PAMS a-t-il été créé ?
Le référentiel PAMS a été créé en réponse à un besoin croissant de sécurisation des prestations d’infogérance. Dans un environnement où la sous-traitance de l’administration et de la maintenance informatique est devenue courante, les risques associés (cyberattaques, fuites de données, compromission des systèmes) se sont considérablement accrus.
PAMS permet aux organisations commanditaires (entreprises, administrations, OIV) de se conformer aux exigences réglementaires issues de plusieurs cadres normatifs :
- La directive européenne NIS (Network and Information Security)
- Le code de la défense français
- La Politique de Sécurité des Systèmes d’Information de l’État (PSSIE)
Faire appel à un prestataire qualifié PAMS représente donc non seulement un gage de conformité réglementaire, mais aussi l’assurance de l’application des meilleures pratiques en matière de sécurité informatique, même pour les organisations qui ne sont pas strictement soumises à ces obligations légales.
Les différentes étapes du processus de qualification
J0 : Phase préparatoire
Cette étape initiale marque l’engagement du prestataire dans la démarche de qualification. Elle comprend la prise de connaissance du référentiel et l’adhésion formelle aux exigences qu’il contient.
J1 : Évaluation initiale
Un organisme certificateur indépendant (comme le Laboratoire National de métrologie et d’Essais – LNE) procède à une évaluation approfondie pour vérifier la conformité du prestataire aux exigences du référentiel PAMS.
J1 : Évaluation initiale
Un organisme certificateur indépendant (comme le Laboratoire National de métrologie et d’Essais – LNE) procède à une évaluation approfondie pour vérifier la conformité du prestataire aux exigences du référentiel PAMS.
J2 : Validation par l’ANSSI
L’ANSSI examine et accepte les travaux d’évaluation réalisés par l’organisme certificateur. Cette étape constitue une validation technique du dossier d’évaluation.
J3 : Décision de qualification
Sur la base du rapport d’évaluation validé, l’ANSSI prend la décision finale d’accorder ou non la qualification PAMS. En cas de décision favorable, l’attestation de qualification est délivrée pour une durée de trois ans et publiée sur le site officiel de l’ANSSI.
Des évaluations de suivi sont ensuite réalisées annuellement pour s’assurer du maintien du niveau de sécurité requis tout au long de la période de validité de la qualification.
Les exigences et le périmètre du référentiel
Le référentiel PAMS impose des exigences strictes qui s’articulent autour de trois dimensions principales :
Exigences organisationnelles
- Mise en place de processus formalisés pour l’administration et la maintenance
- Définition claire des responsabilités et des rôles
- Gestion rigoureuse des incidents de sécurité
Exigences techniques
- Séparation stricte entre le système d’information du prestataire (outils, postes, réseaux d’administration) et les ressources administrées du client
- Mise en œuvre de mécanismes de traçabilité des actions d’administration
- Protection des flux d’administration et de maintenance
- Sécurisation des accès privilégiés
Exigences humaines
- Formation et sensibilisation du personnel aux enjeux de sécurité
- Vérification des antécédents des administrateurs ayant accès aux systèmes critiques
- Application du principe du moindre privilège
Le périmètre couvert par PAMS englobe l’ensemble des dispositifs physiques ou virtuels du système d’information administré : serveurs, postes de travail, équipements réseau, applications, bases de données, etc.
Les avantages de la qualification PAMS
Renforcement de la sécurité
La qualification PAMS permet une réduction significative des risques liés à l’externalisation de l’administration et de la maintenance des systèmes d’information. Elle constitue une protection efficace face aux cybermenaces de plus en plus sophistiquées.
Conformité réglementaire
Pour les clients soumis à des obligations légales strictes, le recours à un prestataire qualifié PAMS facilite la mise en conformité avec les exigences réglementaires applicables à leur secteur d’activité.
Confiance et différenciation sur le marché
Pour les prestataires d’infogérance, la qualification PAMS représente un gage de sérieux et de compétence qui facilite l’accès à des marchés sensibles (OIV, secteur public, industries critiques). Elle constitue un avantage concurrentiel significatif.
Amélioration continue
Le processus d’évaluation annuelle garantit un maintien du niveau de sécurité dans la durée et encourage une démarche d’amélioration continue des pratiques de sécurité.
Perspectives et enjeux
Le référentiel PAMS s’impose aujourd’hui comme un standard de référence pour l’infogérance sécurisée en France. Le référentiel permet de structurer la relation entre prestataires et clients autour d’exigences élevées et vérifiables, contribuant ainsi à la résilience globale des systèmes d’information critiques.
Les défis futurs concerneront l’adaptation du référentiel aux évolutions technologiques (cloud computing, intelligence artificielle, automatisation), ainsi que son articulation avec d’autres référentiels internationaux pour faciliter l’interopérabilité et la reconnaissance mutuelle des qualifications de sécurité à l’échelle mondiale.