Prestataire de Réponse aux Incidents de Sécurité

Lorsqu'un incident cyber frappe un système d'information, la réactivité et l'expertise de l'équipe de réponse déterminent l'ampleur des dégâts. Le Prestataire de Réponse aux Incidents de Sécurité (PRIS) intervient dans ces situations critiques pour analyser l'attaque, contenir la menace, préserver les preuves et guider la remédiation. Pour les entités régulées par NIS2, comprendre le rôle et le périmètre de cette qualification permet d'anticiper les scénarios de crise et de préparer une mobilisation rapide en cas de compromission.

Histoire et cadre du référentiel PRIS

Le référentiel PRIS trouve son ancrage juridique dans le décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. Ce texte institue une procédure de qualification gérée par l'ANSSI, destinée notamment aux besoins des opérateurs d'importance vitale selon la loi de programmation militaire.

Après un appel à candidatures en juillet 2014, sept prestataires ont participé à une phase expérimentale, évaluée de janvier à juin 2016 par deux centres d'évaluation sous l'observation de l'ANSSI. La version mise à jour du référentiel a été publiée en octobre 2017 suite à cette phase expérimentale.

Le référentiel a connu des évolutions majeures récentes. En décembre 2024, l'ANSSI a publié la version 3.0 du référentiel PRIS, qui introduit deux niveaux de qualification distincts : substantiel et élevé. En octobre 2025, la version 3.2 a intégré une cinquième activité : la gestion de crise d'origine cyber, suite à des travaux menés depuis 2023 et un appel à commentaires clos en mai 2025. Cette dernière mise à jour confirme l'adaptation continue du référentiel aux besoins du terrain.

Périmètre couvert : que fait concrètement un PRIS

Le référentiel PRIS couvre désormais cinq activités : recherche d'indicateurs de compromission (REC), investigation numérique (INV), analyse de codes malveillants (CODE), pilotage et coordination des investigations (PCI), et gestion de crise d'origine cyber (CRISE).

Concrètement, un prestataire qualifié PRIS intervient pour identifier les vecteurs d'attaque, cartographier les systèmes compromis, extraire et analyser les artefacts malveillants (logs, fichiers suspects, traces réseau), reconstituer la chronologie de l'incident et formuler des recommandations de remédiation. L'activité de gestion de crise peut être effectuée indépendamment des autres activités, alors que certaines comme PCI nécessitent obligatoirement REC et INV.

Un PRIS ne réalise pas de détection continue (domaine du PDIS), ni d'audit préventif de sécurité (domaine du PASSI). Il intervient après la découverte d'un incident, dans une logique de réponse sous contrainte de temps.

Quand mobiliser un prestataire PRIS

La mobilisation d'un PRIS s'impose dans quatre situations principales.

Suite à une détection d'incident de sécurité avéré. Lorsque vos équipes internes ou votre SOC identifient une compromission avérée (ransomware, exfiltration de données, mouvement latéral), un PRIS apporte l'expertise forensique et la méthodologie d'investigation nécessaires pour qualifier l'incident et préparer les actions de remédiation. Cette capacité de réponse s'inscrit directement dans les exigences de gestion des incidents NIS2.

Dans le cadre d'obligations de notification réglementaire. NIS2 impose des délais stricts de notification aux autorités (24 heures pour la notification initiale). Un PRIS qualifié vous aide à rassembler les éléments factuels, à qualifier la gravité de l'incident et à préparer les éléments de déclaration à l'ANSSI, dans le respect des obligations de cyber-hygiène et formation.

Pour préserver les preuves et préparer une action judiciaire. En activité CRISE, le prestataire doit être capable de soutenir le commanditaire dans la préparation des dépôts de plainte et déclaration d'incident aux autorités compétentes (ANSSI, CNIL, etc.). Le respect des procédures forensiques garantit la recevabilité des preuves devant les tribunaux.

En simulation de crise pour tester la résilience. Certaines entités mobilisent un PRIS en mode exercice pour éprouver leur dispositif de continuité d'activité et valider leurs procédures de gestion de crise, dans une logique d'évaluation de l'efficacité des mesures mises en œuvre.

Comment se déroule une mission PRIS

Une mission PRIS suit un enchaînement structuré, défini par les exigences du référentiel.

Phase de cadrage initial (4 à 8 heures). Le prestataire établit avec le commanditaire une note de cadrage précisant le périmètre de l'incident, les systèmes concernés, les objectifs de l'investigation et les contraintes opérationnelles. Le prestataire doit désigner un responsable d'équipe et constituer une équipe composée d'analystes et, le cas échéant, de pilotes d'investigation et de gestionnaires de crise disposant de toutes les connaissances requises.

Recherche d'indicateurs de compromission et investigation (3 à 15 jours selon la complexité). Les analystes collectent les logs, isolent les machines suspectes, extraient les artefacts, analysent les codes malveillants et reconstituent la chronologie de l'attaque. Cette phase nécessite un accès direct aux systèmes et une collaboration étroite avec les équipes internes.

Pilotage technique et coordination (durée variable selon le contexte). Au niveau de qualification élevé, le pilote d'investigation doit assurer une cohérence avec les priorisations de gestion de crise d'origine cyber. Ce niveau implique d'organiser une restitution "à chaud" à la fin de chaque journée.

Livrable final et recommandations (1 à 3 jours de rédaction). Le prestataire fournit un rapport détaillé incluant la chronologie complète de l'incident, l'identification des vecteurs d'attaque, l'étendue de la compromission, les recommandations de remédiation et, si nécessaire, un retour d'expérience formalisé.

La durée totale d'une mission PRIS varie de 5 jours pour un incident simple et circonscrit à plusieurs semaines pour une compromission complexe ou étendue.

Tarification indicative 2025-2026

Le marché de la réponse à incident fonctionne sur un modèle en régie (facturation au temps passé), avec des taux journaliers moyens qui reflètent la rareté des compétences forensiques.

Appeler un expert en urgence un dimanche matin suite à une attaque par ransomware coûtera le tarif "crise", souvent double ou triple par rapport à un contrat de maintenance préventive. Les prestataires facturent souvent avec des majorations pour le travail de nuit ou le week-end (souvent +50% à +100%).

Pour une mission classique en horaires ouvrés, les taux journaliers moyens s'établissent entre 800 € et 1 400 € HT selon le niveau d'expertise requis et le caractère urgent de l'intervention. Les prestataires qualifiés PRIS niveau élevé pratiquent généralement des tarifs supérieurs de 15 à 25 % par rapport au niveau substantiel, compte tenu des exigences renforcées sur les compétences et les vérifications de sécurité du personnel.

Une mission complète d'investigation sur un incident moyen (périmètre de 50 à 200 postes, compromission limitée à un sous-réseau) représente un budget de 12 000 € à 30 000 € HT. Pour une crise majeure nécessitant une mobilisation 24/7 sur plusieurs semaines, les montants peuvent dépasser 100 000 € HT.

Certains prestataires proposent des contrats de retainer (forfait de disponibilité) permettant de garantir une intervention sous 4 heures moyennant un abonnement mensuel de 1 500 € à 5 000 € HT selon le niveau de service garanti.

Différence PRIS vs qualifications voisines

La qualification PRIS se distingue des autres qualifications ANSSI par son positionnement dans le cycle de vie de la sécurité.

PRIS vs PASSI. Le PASSI réalise des audits préventifs (tests d'intrusion, audits de configuration, revues d'architecture) dans une logique d'identification des vulnérabilités avant incident. Le PRIS intervient après incident pour analyser une compromission avérée. Les deux référentiels partagent désormais deux niveaux de qualification (substantiel et élevé), le premier fournissant un premier niveau de garantie sur la compétence du prestataire, le niveau élevé s'adressant aux entités pour qui les risques cyber sont particulièrement élevés.

PRIS vs PDIS. Le PDIS assure une surveillance continue du système d'information pour détecter les signaux faibles d'incidents en temps réel (SOC, analyse de logs, corrélation d'événements). Le PRIS intervient en profondeur après détection pour investiguer et qualifier l'incident. Les deux prestations sont complémentaires : un PDIS détecte, un PRIS analyse et guide la remédiation.

PRIS vs PACS. Le PACS accompagne les organisations dans la construction de leur stratégie de sécurité, la rédaction de politiques, la mise en conformité réglementaire ou la préparation à la gestion de crise. Le PRIS intervient en crise réelle, dans l'urgence, pour répondre à un incident effectif. Un PACS peut néanmoins inclure une activité de préparation à la gestion de crise d'origine cyber, distincte de la gestion de crise elle-même couverte par le PRIS.

Le catalogue officiel des prestataires qualifiés PRIS est disponible sur cyber.gouv.fr/produits-services-qualifies. Pour les entités NIS2, disposer d'un contact identifié avec un prestataire PRIS qualifié avant toute crise constitue une mesure de préparation essentielle de gestion des incidents.

Sources de cette fiche

• https://ssi.rip/administration/actualite/publication-du-decret-n2015-350-du-27-mars-2015-relatif-a-la-qualification-des-produits-de-securite-et-des-prestataires-de-service-de-confiance-pour-les-besoins-de-la-securite-nationale/
• https://cyber.gouv.fr/actualites/obsolete-pris-pour-les-prestataires-de-reponse-aux-incidents-de-securite
• https://www.solutions-numeriques.com/lanssi-met-a-jour-ses-referentiels-pris-et-passi/
• https://cyber.gouv.fr/actualites/publication-de-la-mise-jour-du-referentiel-pris-en-version-32
• https://www.silicon.fr/cybersecurite-1371/gestion-crise-cyber-referentiel-pris-224510
• https://fr.scribd.com/document/879016725/ANSSI
• https://deefense.fr/cyber-et-it/tarifs-cybersecurite-pour-pme
• https://www.lafabriquedunet.fr/agences/pages/agences-cybersecurite/tarifs
• https://cyber.gouv.fr/produits-services-qualifies