Qualification ANSSI
PRIS : Prestataire de Réponse aux Incidents de Sécurité
Les prestataires de réponse aux incidents de sécurité interviennent lorsqu'une concordance de signaux permet de soupçonner ou d'attester une activité informatique malveillante au sein d'un système d'information. Le référentiel d'exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s'imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu'au déroulement des prestations de réponse aux incidents. La qualification PRIS est délivrée par l'ANSSI après évaluation par un centre agréé.
Périmètre et activités qualifiables
La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : recherche d'indicateurs de compromission, investigation numérique, analyse de codes malveillants, pilotage et coordination des investigations. Le référentiel d'exigences applicables aux prestataires de réponse aux incidents de sécurité en version 3.2 comprend aujourd'hui cinq activités, la gestion de crise d'origine cyber devient une activité à part entière du référentiel PRIS.
La qualification, qui permet d'attester de la conformité du prestataire de réponse aux incidents, sera délivrée par l'ANSSI suite à une évaluation réalisée par des centres d'évaluation agréés à cet effet par l'ANSSI. Obtenir cette qualification garantit le niveau technique, organisationnel et de sécurité d'une organisation en matière de réponse aux incidents. Le référentiel impose des exigences strictes : protection de l'information au niveau Diffusion Restreinte, compétences techniques avancées en forensique et investigation, dispositifs opérationnels disponibles en continu.
Lien avec NIS2
Les entités soumises à NIS2 doivent mettre en œuvre des mesures de gestion de crise et de réponse aux incidents au titre de l'Article 21 §2. Recourir à un PRIS qualifié constitue une garantie de conformité pour les volets détection forensique, investigation et remédiation post-incident. Article 21 emphasizes the importance of having a well-defined incident response process. This includes the capability to detect, respond to, and recover from cybersecurity incidents quickly and effectively. Les PRIS apportent également un soutien opérationnel dans le cadre des obligations de notification prévues par l'Article 23 (notification sous 24 heures, rapport intermédiaire, rapport final).
Le choix d'un prestataire qualifié PRIS s'inscrit dans la logique de l'Article 21 §2(d) relatif à la sécurité de la chaîne d'approvisionnement et aux relations avec les prestataires externes. Pour approfondir les mesures de gestion de risques cyber, consultez /mesures/gestion-risque-cyber.