Qu'est-ce que le référentiel PDIS de l'ANSSI ?
Le référentiel PDIS (Prestataire de Détection d'Incidents de Sécurité) est un ensemble d'exigences techniques, organisationnelles et de sécurité élaboré par l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Ce référentiel sert de base à la délivrance d'un "visa de sécurité", qui reconnaît officiellement l'aptitude d'une organisation à opérer un Centre d'Opérations de Sécurité (SOC – Security Operations Center) de haut niveau. La conformité à ce référentiel garantit que le prestataire met en œuvre une infrastructure hautement sécurisée et cloisonnée pour collecter, analyser et corréler les événements de sécurité (journaux d’accès, flux réseaux, etc.) afin de détecter la moindre tentative d'intrusion ou comportement malveillant.
Quels sont les enjeux de la qualification PDIS ?
Le recours à un prestataire évalué selon le référentiel PDIS est fondamental pour assurer une défense cyber proactive et souveraine. Les enjeux majeurs de ce cadre de confiance incluent :
- Une surveillance continue (24/7/365) : L'assurance d'une vigilance permanente et d'une capacité de levée de doute rapide face aux cybermenaces.
- Des compétences techniques pointues : La garantie que les analystes du SOC possèdent le niveau de connaissances minimal requis par l'ANSSI pour qualifier les incidents de sécurité.
- Une souveraineté et territorialité strictes : La protection des données et des journaux d'événements du commanditaire, traités et hébergés au sein d'un périmètre géographique hautement sécurisé et contrôlé.
- Une gouvernance et impartialité robustes : La mise en place de structures d'administration et d'exploitation étanches empêchant tout conflit d'intérêts ou compromission de l'information.
- Un engagement de Qualité de Service (QoS) : La formalisation contractuelle de stratégies de collecte, d'analyse et de notification d'incidents claires et éprouvées.
À qui s'adresse la qualification PDIS ?
Le référentiel PDIS s'adresse à toutes les organisations – qu'il s'agisse d'entreprises de services du numérique (ESN), de cabinets spécialisés en cybersécurité ou d'entités publiques – qui opèrent un service de détection des incidents de sécurité pour leur propre compte (SOC interne) ou pour celui de clients tiers.
Il cible en priorité les prestataires accompagnant les structures dites critiques ou sensibles, telles que les Opérateurs d'Importance Vitale (OIV), les Opérateurs de Services Essentiels (OSE) et les entités soumises aux exigences strictes de la directive européenne NIS 2.
La qualification atteste du respect par le prestataire :
- Des exigences contractuelles, législatives et réglementaires qui s’appliquent à cette activité et de l’impartialité
- Des niveaux minimaux de connaissances et compétences du personnel impliqué dans le service de détection (gestion des incidents, des évènements et des notifications)
- Des règles relatives à la protection de l’information
- Des règles en matière d’organisation et de gouvernance
- Des exigences de qualité et de niveau de service
La qualification est délivrée par l’ANSSI sur la base du rapport d’évaluation réalisé par LSTI pour une durée de trois ans, sous réserve de la réalisation d’inspection d’un audit de surveillance à 18 mois suivant la certification initiale ou de renouvellement.
Comment se déroule l'évaluation PDIS ?
La qualification réglementaire PDIS s'étend sur un cycle de 3 ans. En tant que Centre d'évaluation agréé et habilité par l'ANSSI, LSTI intervient comme tiers de confiance indépendant pour mener l’ensemble des opérations d'évaluation. C'est sur la base de cette évaluation que l'ANSSI prend une décision de qualification.
L’étape d'étude documentaire
Une fois la stratégie d'évaluation validée avec l'ANSSI, les auditeurs de LSTI entrent en action avec l'analyse approfondie de toute la documentation du prestataire. Sont rigoureusement examinés : la Politique de Sécurité des Systèmes d’Information (PSSI), les conventions de service types, l'analyse des risques (EBIOS), les matrices de flux logiques et le plan de réversibilité.
L’évaluation technique et organisationnelle sur site
Après validation documentaire, l'équipe d'évaluation complète de LSTI se déploie physiquement dans les locaux du SOC du prestataire. Elle réunit des compétences hautement spécialisées :
- Le Responsable d’Évaluation (RA) : pilote la conformité globale, organisationnelle et la vérification des engagements contractuels.
- L’Expert Technique Architecture (ETA) : contrôle la sécurité physique des locaux, la configuration des réseaux et le cloisonnement strict des infrastructures du système d'information.
- L’Expert Technique Détection (ETD) : audite la configuration des outils (SIEM), la gestion des alertes et la pertinence technique des règles de corrélation.
Quelle est la durée de validité d'une qualification PDIS ?
La qualification PDIS accordée par l'ANSSI est délivrée pour une durée maximale de 3 ans. Pour qu'un prestataire conserve son titre, le processus de maintien comprend les jalons de surveillance obligatoires suivants menés par le Centre d'évaluation LSTI :
- À 18 mois (mi-parcours) : Réalisation d'une inspection de surveillance intermédiaire sur site et sur pièces afin de vérifier que le prestataire maintient les conditions de sécurité organisationnelles et techniques initiales.
- En cas de changement majeur : Notification immédiate à l'ANSSI et mise en place d'une évaluation complémentaire ciblée si le prestataire modifie significativement son architecture, son infrastructure ou la localisation du traitement des données.
- À 3 ans : Exécution d'un audit complet de renouvellement pour relancer un nouveau cycle de qualification.
Vos questions sur la qualification PDIS
-
Quelle est la différence entre un SOC managé classique et un service de détection qualifié PDIS dans le cadre de NIS 2 ?
Un Centre d'Opérations de Sécurité (SOC) managé classique repose sur des engagements de services librement définis, tandis qu'un service de détection qualifié PDIS répond strictement aux exigences réglementaires de l'ANSSI. Le référentiel PDIS impose des critères de souveraineté stricts (données hébergées en France ou en Europe), une infrastructure cloisonnée et durcie, ainsi qu'un audit obligatoire des compétences des analystes. Dans le cadre de la directive européenne NIS 2 et de la réglementation française, le recours à un prestataire qualifié PDIS par un Centre d'évaluation comme LSTI offre la garantie de conformité maximale pour la surveillance des Entités Essentielles (EE) et des Opérateurs d'Importance Vitale (OIV). -
Quelles sont les règles minimales et recommandées concernant la réversibilité en fin de contrat ?
Selon les exigences du référentiel PDIS (notamment l'exigence IV.5.2.d), le plan de réversibilité d'un prestataire doit obligatoirement définir une durée minimale d'activité de trois mois pour assurer la continuité de la surveillance lors d'une transition, bien que l'ANSSI émette la recommandation formelle de porter cette durée de réversibilité à six mois afin de sécuriser pleinement le transfert ou la restitution des données au commanditaire. -
Quels documents et registres relatifs aux règles de détection le prestataire doit-il obligatoirement tenir à jour ?
Pour attester de la rigueur de sa surveillance, le prestataire doit être en mesure de fournir une documentation à jour de ses règles de détection, le registre chronologique des ajouts, modifications et suppressions de ces règles, la liste formalisée des incidents redoutés par le client avec leur échelle de gravité associée, ainsi qu'un bulletin mensuel d'état des règles de détection destiné au commanditaire. -
Quelles garanties le référentiel impose-t-il concernant la souveraineté et la territorialité du service ?
Le référentiel PDIS impose des clauses strictes de territorialité exigeant que l'ensemble des activités de surveillance, l'administration du système d'information de détection, ainsi que l'hébergement et le traitement de toutes les données et journaux d'événements liés au commanditaire soient localisés exclusivement sur le territoire national ou dans une zone géographique explicitement validée et restreinte, limitant de fait le recours à de la sous-traitance hors de ce périmètre de confiance. -
Quelle est l'importance de l'Addendum de janvier 2025 dans l'évolution du référentiel ?
L'Addendum N°42/ANSSI/SDE/NP introduit en janvier 2025 apporte des évolutions majeures au référentiel PDIS v2.0 en intégrant des variantes d'architecture appelées « Options A & B » pour s'adapter aux technologies modernes, tout en alignant et en uniformisant les méthodes de vérification avec les autres trames d'évaluation de l'ANSSI telles que PASSI (audit), PRIS (réponse aux incidents) et PACS. -
Comment s'articulent la qualification PDIS de l'ANSSI et la certification internationale ISO/IEC 27001 ?
La certification ISO/IEC 27001 et la qualification PDIS sont des démarches complémentaires mais distinctes. L'ISO 27001 valide la maturité globale d'un Système de Management de la Sécurité de l'Information (SMSI) à travers un cadre organisationnel international. Le référentiel PDIS de l'ANSSI, quant à lui, est une qualification réglementaire française beaucoup plus technique et spécialisée, qui impose des exigences strictes et non négociables de cloisonnement d’architecture, de souveraineté des données et de mesure de l'efficacité opérationnelle de la détection. Disposer d'une certification ISO 27001 constitue un excellent socle documentaire pour aborder l'étude documentaire (DOC) du PDIS, mais ne dispense pas des audits techniques spécifiques menés sur site par un Centre d'évaluation comme LSTI.
En savoir plus
Pourquoi choisir LSTI ?

Expertise reconnue
Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.

Auditeurs spécialisés
Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.

Tiers indépendant et accompagnement dédié
Habilité par l’ANSSI, LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.




