Prestataire de Détection des Incidents de Sécurité

Les PDIS constituent la première ligne de défense opérationnelle dans la surveillance continue des systèmes d'information critiques. Nés dans le cadre de la Loi de Programmation Militaire et élargis aux exigences NIS2, ces prestataires qualifiés assurent la détection en temps réel des incidents de sécurité au profit des Opérateurs d'Importance Vitale et, désormais, des entités essentielles et importantes visées par la directive européenne.

Histoire et cadre du référentiel PDIS

Le référentiel d'exigences pour les Prestataires de Détection des Incidents de Sécurité a été publié en première version en décembre 2015, en réponse aux obligations de la Loi de Programmation Militaire 2014-2019 imposant aux OIV la mise en place de systèmes de détection. Pour être qualifié dans le cadre du décret n° 2015-350, un prestataire doit répondre aux exigences du référentiel PDIS, texte fondateur instituant la procédure de qualification des prestataires de service de confiance pour les besoins de la sécurité nationale.

Au moment où ce billet est écrit, le référentiel PDIS v2 est disponible au format PDF sur le site de l'ANSSI. Ce référentiel v2.0, publié en décembre 2017, a fait suite à une phase expérimentale menée avec plusieurs prestataires candidats en 2016. Les guides sur la supervision de sécurité serviront de base pour un nouveau référentiel de qualification PDIS, puisque l'ANSSI a lancé en mars 2026 un appel à commentaires sur de nouvelles architectures de référence, annonçant une troisième version du référentiel à venir.

Le décret n° 2015-350 confie à l'ANSSI la responsabilité d'élaborer les référentiels d'exigences et de prendre les décisions de qualification. Les centres d'évaluation agréés (LNE/BYCYB, LSTI) réalisent les audits préalables à la qualification, qui est délivrée pour une durée limitée et soumise à surveillance.

Périmètre couvert : que fait un PDIS concrètement

Le référentiel couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu'au déroulement des prestations de détection des incidents. Un prestataire PDIS opère un Security Operations Center conforme à l'état de l'art, assurant trois missions principales :

Collecte et corrélation des événements de sécurité : le PDIS déploie des sondes de capture réseau (souvent qualifiées ANSSI) et collecte les journaux d'événements (logs) issus des équipements du périmètre supervisé. Il exploite un SIEM corrélant ces flux pour identifier des comportements suspects, des tentatives d'intrusion ou des compromissions en cours. Dans le cadre du référentiel PDIS de l'ANSSI, voici des exigences permettant de renforcer la détection en cas d'incidents de sécurité : Des exigences en matière de compétences et de qualifications du personnel ; Des exigences en matière d'organisation et de processus ; Des exigences en matière de moyen techniques et matériels.

Détection et qualification des incidents : les analystes du SOC exploitent des règles de détection documentées, maintenues à jour face aux menaces émergentes. Chaque alerte fait l'objet d'une investigation permettant de qualifier l'incident (vrai/faux positif, gravité, périmètre affecté). Le prestataire documente chaque traitement dans un système de ticketing accessible au commanditaire.

Notification et conseil : en cas d'incident avéré, le PDIS notifie le commanditaire selon des délais contractuels (souvent quelques heures maximum pour les incidents critiques), documente les éléments de preuve forensiques et conseille sur les premières actions de réponse. Il transmet également à l'ANSSI les incidents affectant les OIV, conformément aux obligations légales.

Ce que le PDIS ne fait pas : la remédiation technique (patching, isolation, éradication) relève du Prestataire de Réponse aux Incidents de Sécurité ou des équipes internes. Le PDIS ne mène pas d'audits de sécurité (périmètre PASSI) ni ne gère la sécurité des environnements cloud (périmètre SecNumCloud pour l'hébergement). Il assure uniquement la surveillance, l'analyse et la notification.

Quand mobiliser un prestataire PDIS

Contexte réglementaire strict : la conformité PDIS est obligatoire pour les OIV, qui doivent soit déployer un SOC interne conforme au référentiel, soit externaliser auprès d'un prestataire qualifié. Les entités essentielles NIS2 des secteurs santé, énergie, transports, eau, infrastructures numériques et bancaires doivent mettre en œuvre des capacités de détection équivalentes, rendant le recours à un PDIS qualifié fortement recommandé lors des contrôles ANSSI. Cette exigence s'inscrit dans la gestion des incidents imposée par la directive.

Construction d'une capacité de supervision de sécurité : une organisation de plus de 500 postes n'ayant aucun SOC, aucune corrélation de logs ni aucune sonde réseau mobilise un PDIS pour bâtir un système de détection complet. Le prestataire conseille l'architecture (zones d'échange, enclaves de collecte), installe les sondes aux points d'interconnexion critiques et opère la plateforme 24/7. Ce cas d'usage relève de la mesure cyber-hygiène et formation et de la mesure d'évaluation de l'efficacité.

Montée en maturité d'un SOC existant : une entité disposant d'un SIEM interne avec deux analystes en journée uniquement externalise la surveillance nocturne et week-end vers un PDIS qualifié, mutualisant ainsi la couverture horaire et l'expertise face aux menaces avancées. Le prestataire injecte également de la threat intelligence actualisée, enrichissant les capacités de détection internes.

Préparation d'un audit ou d'un contrôle NIS2 : six mois avant l'échéance d'un contrôle ANSSI, une entité importante du secteur des infrastructures numériques fait auditer son SOC par un PDIS qualifié pour identifier les écarts au référentiel, puis contractualise un service managé sur 12 mois garantissant la conformité documentaire et opérationnelle lors de l'inspection.

Comment se déroule une mission PDIS

Phase d'initialisation (J–60 à J0) : le commanditaire et le prestataire définissent le périmètre supervisé (systèmes, zones réseau, utilisateurs critiques), les sources de collecte (firewalls, proxies, serveurs d'authentification, sondes réseau) et la liste des incidents redoutés. Le PDIS rédige la stratégie de collecte, valide l'architecture technique (enclave de collecte, zone d'échange sécurisée, poste de consultation PDIS pour accéder au portail de ticketing) et planifie le déploiement. Cette phase mobilise un chef de projet PDIS, un architecte sécurité et un ou deux analystes seniors.

Déploiement et intégration (J0 à J+30) : installation des sondes qualifiées aux interconnexions (internet, partenaires, zones DMZ), configuration des flux de logs vers le collecteur PDIS, paramétrage du SIEM avec les règles de détection initiales. Le prestataire teste la chaîne de détection, calibre les seuils d'alerte et forme les interlocuteurs du commanditaire à l'utilisation du portail de reporting. À l'issue, une recette opérationnelle valide la capacité à détecter des scenarii d'attaque.

Exploitation continue (run) : les analystes SOC surveillent 24/7 les alertes remontées par le SIEM, qualifient les incidents, ouvrent des tickets documentés et notifient le commanditaire selon les niveaux de gravité. Le PDIS maintient à jour les règles de détection (menaces émergentes, campagnes d'attaque détectées par le CERT-FR), produit des rapports mensuels d'activité (nombre d'alertes, incidents qualifiés, temps de détection moyen) et anime des revues trimestrielles de pilotage.

Durée et livrables : une mission PDIS s'inscrit généralement sur 12 à 36 mois renouvelables. Les livrables incluent : stratégie de collecte documentée, compte-rendu d'installation, procédures de notification, tickets d'incident horodatés et documentés, rapport mensuel d'activité SOC, synthèse trimestrielle des menaces détectées, rapport annuel d'amélioration continue. Le prestataire transmet également les preuves forensiques (PCAP réseau, logs horodatés) en cas d'incident grave nécessitant une investigation judiciaire ou une remédiation par un PRIS.

Tarification indicative

Ce ticket d'entrée PDIS représente un net surcoût par rapport à un SOC standard. Le coût d'un service PDIS qualifié se décompose en trois postes principaux :

Infrastructure initiale : la mise en place d'un service de détection qualifié nécessite le déploiement d'une infrastructure nécessaire aux interactions entre le service de détection et son client (enclave de collecte, zone d'échange et postes de consultation PDIS pour accéder au ticketing et au portail de reporting). Cette infrastructure initiale représente entre 30 000 € et 80 000 € selon la complexité du périmètre (nombre de sites, volume de flux, contraintes d'hébergement souverain).

Sondes réseau qualifiées : les systèmes de détection (sondes IDS/IPS, sondes de capture réseau) qualifiés ANSSI représentent un investissement de 15 000 € à 60 000 € par appliance selon les performances (débit réseau, capacités de stockage). Une architecture PDIS typique déploie deux à cinq sondes selon les interconnexions critiques.

Exploitation annuelle : le run SOC constitue le poste principal. Pour un périmètre de 500 à 1 000 postes avec supervision 24/7, les tarifs 2025-2026 s'échelonnent entre 60 000 € et 150 000 € HT annuels pour une prestation managée complète. Coût : 5-15k€/mois selon SLA pour un SOC externalisé incluant SIEM, analystes et threat intelligence. Les très grandes infrastructures (plusieurs milliers d'utilisateurs, multiples sites, flux réseau > 10 Gbps) atteignent 200 000 € à 400 000 € annuels.

À titre de comparaison, le coût complet d'un SOC interne (salaires, SIEM, sondes, formation, veille) avoisine 300 000 € à 500 000 € annuels pour un périmètre équivalent, sans garantir la conformité au référentiel PDIS. L'externalisation vers un prestataire qualifié permet de mutualiser les coûts tout en obtenant la garantie de qualification nécessaire pour les audits ANSSI.

Différence PDIS vs qualifications voisines

PDIS vs PRIS : Le visa de sécurité PDIS représente le plus haut niveau d'exigence pour les services de détection d'incidents en France. Le PDIS détecte et notifie les incidents en continu ; le PRIS intervient ponctuellement pour investiguer, contenir et éradiquer un incident avéré. Sur le terrain, les deux qualifications se complètent : le PDIS surveille 24/7 et ouvre un ticket incident critique, le PRIS prend le relais pour isoler les machines compromises, analyser les artefacts malveillants et restaurer un état sain. Plusieurs prestataires cumulent les deux qualifications pour offrir une prestation intégrée SOC + réponse à incident.

PDIS vs PASSI : le PASSI réalise des audits ponctuels (tests d'intrusion, revue de configuration, audit de code) selon un périmètre et un planning définis. Le PDIS assure une surveillance permanente et réactive. L'analogie médicale aide : le PASSI est le bilan de santé annuel, le PDIS est le monitoring cardiaque continu en unité de soins intensifs. Une entité NIS2 mobilise typiquement un PASSI pour l'analyse de risques initiale et la mesure d'évaluation de l'efficacité annuelle, complétée par un PDIS pour la détection quotidienne.

PDIS vs SecNumCloud : SecNumCloud qualifie des hébergeurs cloud garantissant la souveraineté, la traçabilité et la réversibilité des données. Un prestataire SecNumCloud héberge les données et les applications ; un PDIS surveille les événements de sécurité de l'infrastructure hébergée. Les deux qualifications se combinent : un cloud SecNumCloud héberge les systèmes d'information essentiels, un PDIS qualifié surveille les logs et flux réseau de ce cloud pour détecter les incidents. Certains hébergeurs SecNumCloud proposent une offre intégrée incluant un SOC PDIS qualifié opéré depuis leur infrastructure souveraine.

PDIS vs SOC standard : un SOC commercial non qualifié peut offrir des capacités techniques équivalentes (SIEM performant, analystes expérimentés, threat intelligence), mais ne satisfait pas les exigences organisationnelles, processuelles et de sécurité de l'information du référentiel ANSSI. Pour une entité non régulée, un SOC standard suffit souvent. Pour un OIV ou une entité essentielle NIS2, seul un PDIS qualifié répond aux obligations légales et résiste à un contrôle ANSSI. La différence réside dans l'engagement de conformité, la traçabilité documentaire et la garantie étatique de qualité.

Consultez le catalogue ANSSI pour la liste à jour des prestataires PDIS qualifiés et leurs périmètres de qualification.

Sources de cette fiche

• https://blog.logcraft.io/posts/2023/referentiel-anssi-pdis
• https://cyber.gouv.fr/sites/default/files/2022-10/pdis_referentiel_v2.0%5B1%5D.pdf
• https://cyber.gouv.fr/actualites/lanssi-lance-un-appel-a-commentaires-supervision-de-securite/
• https://www.legifrance.gouv.fr/loda/id/JORFTEXT000030405903/
• https://cyber.gouv.fr/offre-de-service/solutions-certifiees-et-qualifiees/comprendre-levaluation-de-securite/qualification-de-produit-et-services/referentiels-qualification/
• https://www.lne.fr/fr/service/certification/qualification-pdis-prestataires-detection-incidents-securite
• https://www.soprasteria.fr/perspectives/details/OIV-quelle-realite-economique-et-operationnelle-du-soc-pdis
• https://www.itsystemes.fr/articles/microsoft-sentinel-le-siem-cloud-qui-coute-une-fortune-si-vous-ne-maitrisez-pas-lingestion
• https://www.advens.com/media/news-advens/qualification-pdis/
• https://cyber.gouv.fr/produits-services-qualifies